Beheersmaatregelen: verschil tussen versies
Naar navigatie springen
Naar zoeken springen
Geen bewerkingssamenvatting |
kGeen bewerkingssamenvatting |
||
Regel 1: | Regel 1: | ||
{{concept|}} | {{concept|}} | ||
Beheersmaatregelen (beveiligingsprincipes) realiseren [[:Categorie:Principes concept| | Beheersmaatregelen (beveiligingsprincipes) realiseren [[:Categorie:Principes concept|Afgeleide principes]]. | ||
De volgende beheersmaatregelen worden beschreven in het katern Beveiliging van de NORA: | De volgende beheersmaatregelen worden beschreven in het katern Beveiliging van de NORA: |
Versie van 30 jan 2014 13:17
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.
Beheersmaatregelen (beveiligingsprincipes) realiseren Afgeleide principes.
De volgende beheersmaatregelen worden beschreven in het katern Beveiliging van de NORA:
Beheersmaatregel | Stelling | Realiseert principe |
---|---|---|
Vermeervoudiging van systeemfuncties | Bepaal op basis van de eisen die voortvloeien uit de Plannen voor Bedrijfscontinuïteit in hoeverre delen van de technische infrastructuur meervoudig worden uitgevoerd om single-points-of-failure te vermijden. | Beschikbaarheid |
Herstellen van verwerkingen | Maak verwerkingen herstelbaar. | Beschikbaarheid |
Voorspellen en signaleren van onderbrekingen | Probeer in IT-voorzieningen dreigende discontinuïteit van die voorzieningen te voorspellen dan wel te signaleren in een zo vroeg mogelijk stadium. | Beschikbaarheid |
Registratie (logging) | Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging. | Controleerbaarheid |
Controle en signalering | Instellingen van functies die voor de informatiebeveiliging van belang zijn en wijzigingen daarin worden automatisch gecontroleerd. | Controleerbaarheid |
Rapportering | Logbestanden worden periodiek geanalyseerd en gecorreleerd teneinde beveiligingsincidenten dan wel de juiste werking van het systeem te detecteren. | Controleerbaarheid |
Sleutelbeheer | De vertrouwelijkheid en integriteit van geheime cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag en vernietiging van de sleutels. | Encryptie |
Beperking van ongebruikte functies (hardening) | Infrastructurele programmatuur, die vitale beveiligingsfuncties vervult, bevat geen onnodige en ongebruikte functies. | Integriteit |
Identificatie (beheersmaatregel) | Alle toegangsvragers (gebruikers) tot gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening. | Vertrouwelijkheid (principe) Integriteit |
Controle op communicatiegedrag | Ongewenst communicatiegedrag wordt opgemerkt en geblokkeerd. | Vertrouwelijkheid (principe) Integriteit |
Geautoriseerde mobiele code | Als gebruik van ‘mobile code’ wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde ‘mobile code’ functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niet-toegelaten ‘mobile code’ wordt uitgevoerd. | Integriteit |
Beheersing van verwerkingen | De technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is. | Integriteit |
Scheiding van systeemfuncties | De technische infrastructuur is in zones ingedeeld om isolatie van onderdelen hiervan mogelijk te maken. | Vertrouwelijkheid (principe) Integriteit |
Authenticatie (beheersmaatregel) | Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie. | Vertrouwelijkheid (principe) Integriteit |
Controle op gegevensuitwisseling | De gegevensuitwisseling tussen zones wordt naar vorm en inhoud gecontroleerd, waarbij ongewenste gegevens worden geblokkeerd. | Vertrouwelijkheid (principe) Integriteit |
Handhaven technische functionaliteit | De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd. | Integriteit |
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie. | Integriteit |
Validatie van gegevensverwerking | In toepassingsprogrammatuur worden geprogrammeerde controles opgenomen, gericht op invoer, verwerking en uitvoer. | Integriteit |
Beperking van systeemhulpmiddelen | Het gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en toepassingssoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt. | Integriteit |
Autorisatie (beheersmaatregel) | Autorisaties zijn ingesteld op basis van ontwerp- of systeemdocumentatie, waarin aangegeven is welke rechten in welke gebruikersgroepen worden ondergebracht. | Vertrouwelijkheid (principe) Integriteit |
... meer resultaten |