Beveiliging/implementeren

Uit NORA Online
< Beveiliging
Versie door NCoppens (overleg | bijdragen) op 27 okt 2014 om 17:20 (reviewsjabloon)
Naar navigatie springen Naar zoeken springen

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).

Contactpersonen: Annemieke de Wit en Guus van den Berg.

annemieke.dewit@cip-overheid.nl en guus.vandenberg@cip-overheid.nl




Beveiliging
Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
De pagina Architectuuraanpak vertelt hoe beveiliging gebruikt kan worden bij het werken onder architectuur.

Belang van beveiliging binnen samenwerken in de e-Overheid[bewerken]

NORA 3.0 en de best practices geven invulling aan het 'basisniveau voor informatiebeveiliging' dat overeenkomt met risicoklasse II, verhoogd risico, van de Wet Bescherming Persoonsgegevens (WBP). Sinds maart 2013 zijn hiervoor de richtsnoeren 'Beveiliging van persoonsgegevens' (PDF, 5,6 MB) van kracht van het College Bescherming Persoonsgegevens (CBP). Overheidsorganisaties zullen in alle gevallen op de koppelvlakken met de e-overheidsbouwstenen voor netwerkvoorzieningen (Digikoppeling, Koppelnet Publieke Sector) aan het basisbeveiligingsniveau moeten voldoen.

Voor informatie-uitwisseling op een hoger beveiligingsniveau kunnen organisaties doorgaans gebruik maken van de generieke voorzieningen op het basisbeveiligingsniveau. Aanvullende maatregelen moeten dan worden genomen op het niveau van de processen, de bijbehorende ICT-toepassingen, en in personele en fysieke beveiliging. Organisaties die gegevens uit hogere risicoklassen willen uitwisselen, zullen bijvoorbeeld onderling aanvullende afspraken maken over het gebruik van gescheiden logische verbindingen. Dit niveau komt in de aansluitvoorwaarden tot uitdrukking (zie figuur).

figuur netwerk van partners en bouwstenen waar tussen twee partijen aanvullende IB-afspraken gemaakt zijn

Op basis van de ontwikkelde baseline kan een organisatie voor ieder informatiesysteem maatregelen treffen. Per systeem is vast te stellen of er ten opzichte van de uitgangspunten van de baseline sprake is van afwijkende situaties, waardoor een aanvullende risicoanalyse nodig is. Afwijkende situaties kunnen bijvoorbeeld betrekking hebben op hogere beschikbaarheidseisen, toepassing van nieuwe technologie, specifieke eisen van derden.. De organisatie kan voor iedere bedreiging bepalen wat de kans van een daadwerkelijk optreden is, en wat in zo'n geval de schade is. Daarna kunnen de kosten van te treffen maatregelen worden afgewogen tegen de opbrengsten van de hiermee te vermijden schade. Op basis van deze analyse zijn extra maatregelen, buiten de baseline om, te treffen.

In de praktijk kunnen risico's vanwege technische redenen of kosten vaak niet geheel worden afgedekt. In dat geval moet het management de overgebleven risico's expliciet accepteren.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Nederlandse Overheid Referentie Architectuur.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiliging/implementeren&oldid=10465"