Categorie:Implementatierichtlijnen
Doorverwijspagina
Doorverwijzing naar:
Pagina’s in categorie "Implementatierichtlijnen"
Deze categorie bevat de volgende 200 pagina’s, van de 215 in totaal.
(vorige pagina) (volgende pagina)A
- Afdrukken selectiecriteria bij uitvoerlijsten
- Afstand tussen locaties
- Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingen
- Aparte applicatietaken
- Aparte taak voor goedkeuren
- Authenticatie van gebruikers plaats op basis van cryptografische techniek
- Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid
- Automatisch aanmelden is niet toegestaan voor interactieve gebruikers
- Autorisatiebeheersysteem
B
- Basisscheidingen (klassieke functiescheiding)
- Batch- en hashtotals
- Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen
- Beheer van zones vindt plaats vanuit een eigen zone
- Beheer versus gebruik
- Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderen
- Beheermogelijkheden zijn zoveel mogelijk afgesloten
- Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen
- Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur
- Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerking
- Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd
- Berichtverwerkende infrastructuur past foutloze berichtenverwerking toe
- Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluiten
- Bewaartermijn audit trail
- Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijk
- Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfuncties
- Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologie
- Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden
- Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerd
- Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatie
- Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd
- Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen
- Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongen
- Werkplek voor telewerken
- Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanisme
C
D
- Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismen
- Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen
- De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatie
- De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM)
- De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zone
- De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau
- De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen
- De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekend
- De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone
- De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen
- De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeld
- De sleutellengte is instelbaar en voldoende groot
- De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken worden
- De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatie
- De toekenning van rechten aan processen en bestanden is zo minimaal mogelijk
- De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie
- De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoeren
- Handelingen op te nemen in de logging
- De volledigheid van de logging kan worden vastgesteld
- Default waarden
- Dezelfde gegevens in meerdere gegevensverzamelingen
- Dubbele of ontbrekende bestandsuitwisseling
- Dubbele uitvoering van voorzieningen
E
- E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage.
- Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelen
- Een zone heeft een gedefinieerd beveiligingsniveau
- Eenduidige mutatieverantwoordelijkheden
- Elke zone heeft een vastgesteld uniek beveiligingsdoel
- Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie
- Situaties waarin encrypties dient te worden toegepast
- Encryptie binnen of ten behoeve van een applicatie
- Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert
- Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichten
- Er is een betrouwbare berichtendienst in het besloten netwerkverkeer
- Er is gespecificeerd welke beveiligingsincidenten kunnen optreden
- Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd
- Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken
- Er is voldoende buffering van tussenbestanden bij langere verwerkingsketens
- Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismen
- Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resources
- Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingen
- Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt
- Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden
- Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten melden
- Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie
- Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten
- Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatie
- Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkers
- Extra audit trail
G
- Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen
- Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking
- Gebruikersnaam beheer
- Gegevensencryptie
- Gegevensrubricering tonen
- Geleidelijsten
- Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardware
- Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefouten
H
- Handmatige bestandscorrecties
- Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaarden
- Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.
- Het gebruik van speciale beheeraccounts is uitgeschakeld
- Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log
- Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers
- Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie
- Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord
I
- Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing
- In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden
- In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan
- In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast
- In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden
- In een logregel weg te schrijven informatie
- In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkeren
- Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalen
- Informatieverstrekking aan derden
- Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maakt
- Inhoud audit trail
- Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd
- Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerd
- Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatie
- Instellingen in overeenstemming met inrichtingsdocument
- Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerd
- Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.
- Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principe
- Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone
- Invoer aan de bron
- IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerd
- IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baseren
N
O
- Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd
- Onderscheid in invoeren wijzigen en verwijderen
- Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeld
- Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd
- Onweerlegbaarheid juiste ontvanger en verzender
- Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief
- Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur
- Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld
- Overschrijdingen van drempelwaarden worden doorgegeven aan een Event Console
P
- Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissen
- Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periode
- PKI bij een onvertrouwd netwerk
- Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd
S
- Scheiden en afhankelijk maken van processtappen
- Scheiding bij massale invoer
- Scheiding naar inhoud van gegevens
- Scheiding per zaak
- Schonen audit trail
- Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutels
- Signaleren invoer
- Snelle beschikbaarheid van reserve-voorzieningen
- Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomen
- Stamgegevens versus mutaties
- Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismen
- Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheiden
- Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden
- Systeemklokken worden tijdens openstelling gesynchroniseerd
- Systeemprocessen draaien onder een eigen gebruikersnaam
T
- Technische integriteit programmapakketten
- Terugmelden invoer klantgegevens
- Terugmelden omschrijving
- Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken
- Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekend
- Toepassen logistiek model
- Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaien
- Transactionele integriteit in lange ketens van verwerking
U
V
- Validatie/ bestaanbaarheid/ relatie
- Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
- Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.
- Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten
- Vastleggen verwerkingsdatum
- Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingen
- Verplichte veldinvulling bij kritische gegevens
- Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controles
- Vitale bedrijfsgegevens worden in een aparte zone geplaatst
- Voldoende mogelijkheden tot informatievoorziening
- Volledigheid (en juistheid) inzending berichten
- Volledigheid invoer-volgorde controle
- Volledigheid uitvoer
- Volledigheid uitvoerlijsten zelf
- Volledigheid verzending berichten
- Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt
- Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspunten
- Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld
- Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres
- Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond
- Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding