Beheersmaatregelen

Uit NORA Online
Versie door NCoppens (overleg | bijdragen) op 28 jan 2014 om 12:30
Naar navigatie springen Naar zoeken springen
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.

Beheersmaatregelen (beveiligingsprincipes) realiseren Principes.

De volgende beheersmaatregelen worden beschreven in het katern Beveiliging van de NORA:

BeheersmaatregelStellingRealiseert principe
Vermeervoudiging van systeemfunctiesBepaal op basis van de eisen die voortvloeien uit de Plannen voor Bedrijfscontinuïteit in hoeverre delen van de technische infrastructuur meervoudig worden uitgevoerd om single-points-of-failure te vermijden.Beschikbaarheid
Herstellen van verwerkingenMaak verwerkingen herstelbaar.Beschikbaarheid
Voorspellen en signaleren van onderbrekingenProbeer in IT-voorzieningen dreigende discontinuïteit van die voorzieningen te voorspellen dan wel te signaleren in een zo vroeg mogelijk stadium.Beschikbaarheid
Registratie (logging)Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging.Controleerbaarheid
Controle en signaleringInstellingen van functies die voor de informatiebeveiliging van belang zijn en wijzigingen daarin worden automatisch gecontroleerd.Controleerbaarheid
RapporteringLogbestanden worden periodiek geanalyseerd en gecorreleerd teneinde beveiligingsincidenten dan wel de juiste werking van het systeem te detecteren.Controleerbaarheid
SleutelbeheerDe vertrouwelijkheid en integriteit van geheime cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag en vernietiging van de sleutels.Encryptie
Beperking van ongebruikte functies (hardening)Infrastructurele programmatuur, die vitale beveiligingsfuncties vervult, bevat geen onnodige en ongebruikte functies.Integriteit
Identificatie (beheersmaatregel)Alle toegangsvragers (gebruikers) tot gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening.Vertrouwelijkheid (principe)
Integriteit
Controle op communicatiegedragOngewenst communicatiegedrag wordt opgemerkt en geblokkeerd.Vertrouwelijkheid (principe)
Integriteit
Geautoriseerde mobiele codeAls gebruik van ‘mobile code’ wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde ‘mobile code’ functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niet-toegelaten ‘mobile code’ wordt uitgevoerd.Integriteit
Beheersing van verwerkingenDe technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is.Integriteit
Scheiding van systeemfunctiesDe technische infrastructuur is in zones ingedeeld om isolatie van onderdelen hiervan mogelijk te maken.Vertrouwelijkheid (principe)
Integriteit
Authenticatie (beheersmaatregel)Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie.Vertrouwelijkheid (principe)
Integriteit
Controle op gegevensuitwisselingDe gegevensuitwisseling tussen zones wordt naar vorm en inhoud gecontroleerd, waarbij ongewenste gegevens worden geblokkeerd.Vertrouwelijkheid (principe)
Integriteit
Handhaven technische functionaliteitDe door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.Integriteit
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningenIn toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.Integriteit
Validatie van gegevensverwerkingIn toepassingsprogrammatuur worden geprogrammeerde controles opgenomen, gericht op invoer, verwerking en uitvoer.Integriteit
Beperking van systeemhulpmiddelenHet gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en toepassingssoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt.Integriteit
Autorisatie (beheersmaatregel)Autorisaties zijn ingesteld op basis van ontwerp- of systeemdocumentatie, waarin aangegeven is welke rechten in welke gebruikersgroepen worden ondergebracht.Vertrouwelijkheid (principe)
Integriteit
... meer resultaten

Nederlandse Overheid Referentie Architectuur.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beheersmaatregelen&oldid=5195"