|
|
| (6 tussenliggende versies door 2 gebruikers niet weergegeven) |
| Regel 4: |
Regel 4: |
| |ID=NAP13 | | |ID=NAP13 |
| |Stelling=Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan. | | |Stelling=Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan. |
| |Rationale=Wanneer helder in beeld is welke gevaren en bedreigingen van toepassing zijn voor de dienst kan de adequaatheid van beheersmaatregelen worden beoordeeld. De manieren waarop componenten kunnen falen of hoe er misbruik van kan worden gemaakt zijn onderdeel van de risicoanalyse. Telkens kan dan de afweging worden gemaakt in welke mate de kosten en inspanningen van verdere mitigatie in verhouding staan tot de gevolgen als een risico zich voordoet. De bereidheid van de aanbieder om restrisico's te accepteren maakt onderdeel uit van de afweging. Door risico's tijdig te onderkennen zijn beheersmaatregelen effectiever en efficiënter te implementeren. | | |Rationale=Wanneer helder in beeld is welke gevaren en bedreigingen van toepassing zijn voor de dienst, kun je gepaste beheersmaatregelen nemen. De manieren waarop componenten kunnen falen of hoe er misbruik van kan worden gemaakt zijn onderdeel van de risicoanalyse. Telkens kan dan de afweging worden gemaakt in welke mate de kosten en inspanningen van verdere mitigatie in verhouding staan tot de gevolgen als een risico zich voordoet. |
| |Status actualiteit=Concept | | |
| | De bereidheid van de overheidsdienstverlener om restrisico's te accepteren maakt onderdeel uit van de afweging. Door risico's tijdig te onderkennen zijn beheersmaatregelen effectiever en efficiënter te implementeren. |
| | |Status actualiteit=Actueel |
| |Status toelichting={{Review Kernwaarden}} | | |Status toelichting={{Review Kernwaarden}} |
| |Realiseert=Beschikbaar (Doel), Integer (Doel), Vertrouwelijk (Doel), Kostenefficiënt (Doel) | | |Afbeelding=NAP13 pictogram.png |
| | |Versieaanduiding=resultaten review verwerkt |
| | |Realiseert=Beschikbaar (Doel), Integer (Doel), Kostenefficiënt (Doel), Vertrouwelijk (Doel) |
| }} | | }} |
Stelling
Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.
Rationale
Wanneer helder in beeld is welke gevaren en bedreigingen van toepassing zijn voor de dienst, kun je gepaste beheersmaatregelen nemen. De manieren waarop componenten kunnen falen of hoe er misbruik van kan worden gemaakt zijn onderdeel van de risicoanalyse. Telkens kan dan de afweging worden gemaakt in welke mate de kosten en inspanningen van verdere mitigatie in verhouding staan tot de gevolgen als een risico zich voordoet.
De bereidheid van de overheidsdienstverlener om restrisico's te accepteren maakt onderdeel uit van de afweging. Door risico's tijdig te onderkennen zijn beheersmaatregelen effectiever en efficiënter te implementeren.
Realiseert doel(-en)
Alle implicaties bij dit architectuurprincipe
Implicaties gerangschikt per laag van het Vijflaagsmodel
Dit architectuurprincipe heeft (nog) geen implicaties in Laag 1.
| ID | Implicatie | Beschrijving |
|---|
| IMP063 | Bepaal de continuïteitseisen | Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO). |
| IMP078 | Bewaak de continuïteit en stel een calamiteitenplan op | Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis. |
| IMP062 | Evalueer de risicoanalyse bij veranderingen | Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen. |
| IMP085 | Kies bij cloudoplossingen SaaS boven PaaS boven IaaS | Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.
Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.
Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas. |
| IMP061 | Reduceer rest-risico's | Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren. |
| ID | Implicatie | Beschrijving |
|---|
| IMP080 | Controleer de verwerking van gegevens | Controleer de verwerking van gegevens:
- Zijn de criteria voor juistheid, en tijdigheid vastgesteld?
- Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt?
- Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid?
- Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking?
- Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)
|
| IMP079 | Garandeer de beschikbaarheid van systemen | ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:
- Vermeervoudiging van systeemfuncties.
- Herstelbaarheid en beheersing van verwerkingen.
- Voorspelling van discontinuïteit.
- Handhaving van functionaliteit.
|
| IMP085 | Kies bij cloudoplossingen SaaS boven PaaS boven IaaS | Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.
Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.
Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas. |
| ID | Implicatie | Beschrijving |
|---|
| IMP081 | Borg de vertrouwelijkheid van gegevens in maatregelen | De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. |
| IMP079 | Garandeer de beschikbaarheid van systemen | ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:
- Vermeervoudiging van systeemfuncties.
- Herstelbaarheid en beheersing van verwerkingen.
- Voorspelling van discontinuïteit.
- Handhaving van functionaliteit.
|
| IMP085 | Kies bij cloudoplossingen SaaS boven PaaS boven IaaS | Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.
Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.
Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas. |
| IMP015 | Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk | Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag. |
| IMP064 | Stel onweerlegbaarheid vast | Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden. |
| IMP084 | Versleutel gegevens in rust en transport | Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat.
Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur. |
| IMP086 | Zorg dat software up-to-date is | Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen. |
| ID | Implicatie | Beschrijving |
|---|
| IMP079 | Garandeer de beschikbaarheid van systemen | ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:
- Vermeervoudiging van systeemfuncties.
- Herstelbaarheid en beheersing van verwerkingen.
- Voorspelling van discontinuïteit.
- Handhaving van functionaliteit.
|
| IMP085 | Kies bij cloudoplossingen SaaS boven PaaS boven IaaS | Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.
Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.
Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas. |
| IMP070 | Segmenteer het netwerk | Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat.
Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt. |
| IMP086 | Zorg dat software up-to-date is | Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen. |
