1262
U

Eigenschap:Beschrijving

Uit NORA Online
Ga naar: navigatie, zoeken
KennismodelKennismodel NORA
TypeTekst
Geldige waarden
Meerdere waarden toegestaanNee
Weergave op invulformulierenTekstvak
Defaultwaarde
ToelichtingDeze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Specialisatie van



Deze eigenschap wordt gebruikt door de volgende elementtypen:


Pagina's die de eigenschap "Beschrijving" gebruiken

Er zijn 100 pagina's die deze eigenschappen gebruiken.

(vorige 100 | volgende 100) (20 | 50 | 100 | 250 | 500) bekijken.

'
'Mastering Alliances' published, a whitepaper on cross-organizational collaboration +'Mastering Alliances' published, a whitepaper on cross-organizational collaboration  +
(
(Software) configuratie management +Configuratiebeheer is het beheerproces dat onder andere verantwoordelijk is voor het registreren van de software configuratie-items (SCI's) en hun specifieke kenmerken, zodat de SCI's altijd uniek te identificeren zijn en de volledigheid en de juistheid van de in de CMDB opgenomen items gewaarborgd is. Configuratie beheer geeft inzicht in de status van de verschillende SCI’s die binnen het ontwikkeltraject worden gebruikt en geeft de relaties weer tussen deze SCI’s. Hierdoor wordt duidelijk welke gevolgen aanpassingen van het ene SCI heeft voor andere SCI’s.  +
(Ver)sterkte authenticatie +(Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.  +
1
14+ netnummer +Met een 14+netnummer krijgen gemeenten een herkenbare telefonische ingang. Een 14+netnummer begint met de cijfers 14 en eindigt op het netnummer van de gemeente (zoals 14 010 of 14 0115). Door te bellen met het 14+netnummer komt de burger uit bij zijn gemeente.  +
7
7 November 2018 Congres Linked Data is FAIR voor Iedereen +7 November 2018 Congres Linked Data is FAIR voor Iedereen  +
@
@TIOH sessie juni 2019 +Tweede sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Op het programma in ieder geval een kijkje in de keuken van DNB Toezicht, met oog voor de digitale ambitie en voorbeelden van innovatief gebruik van data (science) in het toezicht. Andere onderwerpen kunnen nog worden aangemeld, zeker als ze hier bij aansluiten. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
@TIOH sessie november 2019 +Derde sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Onderwerpen kunnen nog worden aangemeld. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
A
AES +De AES-standaard is een versleutelingstechniek voor de bescherming van de vertrouwelijkheid van opgeslagen en verzonden data en is de vervanger van de verouderde DES standaard. AES wordt zowel binnen Nederland als wereldwijd zeer veel en op, op zeer veel verschillende wijzen gebruikt. Voorbeelden van het gebruik zijn: # In programma's zoals WinRAR, WinZip, PowerArchiver, e.d. wordt AES als encryptie aangeboden. # AES wordt toegepast voor beveiliging (WPA2) in draadloze netwerken (Wifi), zie IEEE 802.11i. # AES wordt toegepast voor het versleutelen van gegevens voor verzending over het internet, https verkeer etc. # In hardware voor netwerken wordt veelvuldig gebruikt gemaakt van AES.  +
API’s en de samenwerkende overheid +Application Programming Interfaces (API's) zijn handige stukjes software die het mogelijk maken om gegevens op te vragen en te gebruiken in een andere applicatie. Steeds meer overheden maken niet alleen gebruik van API's, maar publiceren hun API's ook op developer.overheid.nl (zie [[Portaal met alle API's in publieke sector in aanbouw|nieuwsbericht]]). En binnen het Kennisnetwerk API's is gewerkt aan een [[Nationale API Strategie in openbare consultatie|Nationale API Strategie]] en worden bijeenkomsten gehouden om kennis te delen. Toch hebben nog lang niet alle organisaties en architecten door wat de volle potentie en impact is van API's. Zoals we bij de eerste automatiseringsslag papieren processen reproduceerden op het scherm, sluit ook de eerste generatie API's vooral aan bij onze bestaande manier van werken. Wat zijn de nieuwe mogelijkheden waar we nog nauwelijks over na gedacht hebben? Hoe gaan we dat merken de komende jaren en hoe kunnen we er nu al op inspelen? Youetta de Jager, enterprise architect bij ICTU, praat ons bij.  +
ASN.1 +ASN is een standaard manier voor het beschrijven van data die binnen een netwerk verzonden of ontvangen worden. Abstract syntax notation one (ASN.1). ASN.1 wordt veel gebruikt voor het beschrijven van X.509 certificaten en de toepassing ervan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast beschrijft deze standaard rollen en structuren om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen. Hierdoor is het mogelijk grote hoeveelheden gegevens geautomatiseerd te valideren aan de hand van specificaties met behulp van software tools.  +
Aanwijzingen voor de regelgeving +Circulaire van de Minister-President, Aanwijzingen waarbij de wetgevingstechniek en de wetgevingskwaliteit centraal staan. Hoofdstuk 5, paragraaf 8 behandelt de Informatievoorziening en Gegevensverwerking. Bevat de aanwijzigingen: Aanwijzing 5.31. Aansluiten bij definities basisregistraties Indien voor de uitvoering van een regeling gegevens van burgers, bedrijven of instellingen nodig zijn, wordt voor de omschrijving van de daaraan ten grondslag liggende begrippen zoveel mogelijk verwezen naar of aangesloten bij de definities uit de wetten inzake de basisregistraties Aanwijzing 5.32. Informatieparagraaf in toelichting Indien voor de uitvoering van een regeling de beschikbaarheid of uitwisseling van informatie tussen overheidsorganisaties van betekenis is, wordt in een aparte informatieparagraaf in de toelichting aandacht besteed aan de wijze waarop de informatievoorziening organisatorisch en technisch is ingericht. Aanwijzing 5.33. Verwerking van persoonsgegevens Bij het opnemen in een regeling van bepalingen over de verwerking van persoonsgegevens bevat de regeling een welbepaalde en uitdrukkelijke omschrijving van de doeleinden van de gegevensverwerking en bevat de toelichting een expliciete afweging van de belangen van verantwoordelijken en betrokkenen in relatie tot die doeleinden. Aanwijzing 5.34. Structurele basis verstrekking persoonsgegevens Indien het noodzakelijk is dat op structurele basis wordt voorzien in de onderlinge verstrekking van persoonsgegevens tussen bestuursorganen of toezichthouders, terwijl geldende geheimhoudingsbepalingen daaraan in de weg staan, wordt op het niveau van de formele wet voorzien in een uitdrukkelijke regeling van de gegevensverstrekking, met inbegrip van de vaststelling van het doel van de gegevensverstrekking.  +
Ades Baseline Profiles +Elektronische handtekeningen worden gebruikt voor het ondertekenen van digitale berichten. Een elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch bericht inderdaad afkomstig is van de ondertekenaar en dat deze de inhoud van het bericht onderschrijft. Voor het ondertekenen van berichten die een hoger niveau van betrouwbaarheid vereisen, kunnen geavanceerde elektronische handtekeningen of gekwalificeerde elektronische handtekeningen worden gebruikt. De AdES Baseline Profiles zorgen ervoor dat een geavanceerde/gekwalificeerde elektronische handtekening voor de ondertekenaar en ontvanger uitwisselbaar is door eisen te stellen aan de minimale set aan informatie die wordt uitgewisseld. De AdES Baseline Profiles beschrijven de minimale set aan gegevens die uitgewisseld moeten worden om aan de eisen van een geavanceerde elektronische handtekening te voldoen. Een geavanceerde elektronische handtekening voldoet aan vier eisen: # De handtekening is op unieke wijze aan de ondertekenaar verbonden; # De handtekening maakt het mogelijk de ondertekenaar te identificeren; # De handtekening komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; # De handtekening is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging van de gegevens, na ondertekening, kan worden opgespoord.  +
Afnemer +De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.  +
Algemene Verordening Gegevensbescherming (AVG) +Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De [[Wet Bescherming Persoonsgegevens]] geldt dan niet meer. In feite is de AVG nu al van toepassing (28 mei 2016) maar wordt zij pas gehandhaafd vanaf 28 mei 2018.  +
An introduction to Society Architecture +Architecten heb je in allerlei soorten, waarbij de titel vaak bepaald wordt door het werkveld dat voor hen is afgebakend: een enkel project, een keten, een domein, de 'business' of de 'enterprise.' De associatie die dit oproept is dat je ook niet breder kijkt dan die afbakening en de directe raakvlakken. Gelukkig, in een tijd waarin alles steeds meer met alles verweven is, is dat meestal niet het geval: architecten zijn breed geïnteresseerde en nieuwsgierige mensen die hun bijdrage willen leveren aan het grotere geheel. Al is het soms wel moeilijk om in je dagelijks werk genoeg ruimte te vinden voor die bredere blik. Bas Kaptijn en Steven Gort creëren al een paar jaar bij ICTU die ruimte: zij denken niet vanuit een enkele opdrachtgever of organisatie, maar vanuit de samenleving als geheel.Zij nemen ons mee in het hoe, wat en waarom van Society Architecture en stellen ons vervolgens de vraag: denk jij en doe jij mee?  +
Analyse en specificatie van informatiebeveiligingseisen +Zoals hierboven gesteld heeft het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ betrekking op niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid.  +
Analyse en specificatie van informatiesystemen +Het analyseren en specificeren van requirements is een proces van het traceren en onderkennen van functionele en niet-functionele requirements waar de te ontwikkelen applicatie aan moet voldoen. Ook worden de constraints geïdentificeerd die zullen gelden in de ontwikkel- en de operatie fases. Het ontwikkelen van informatiesystemen wordt tegenwoordig veelal uitgevoerd conform de iteratieve ontwikkelmethode (Agile). Onafhankelijk van de methode, traditioneel, waterval of iteratief (Agile), is sprake van een aantal ontwikkelstappen waar aandacht wordt besteed aan: * functionele eisen, zoals functionaliteiten, gegevens, businessrules, presentatie, interactie en foutafhandelingen; * niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid. In de ISO27001/2 wordt ten aanzien van dit thema alleen focus gelegd op niet-functionele eisen (beveiligingseisen). Daarom is naast het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ ook het object ‘Analyse en specificatie van Informatiesystemen’ toegevoegd, waarbij de nadruk gelegd wordt op functionele eisen. Dit thema is ‘Baseline based’ en met lineaire volgens V-model aanpak uitgewerkt. Aangezien bij Agile niet op deze wijze wordt gewerkt, verdient dit aspect extra aandacht.  +
Antwoord voor bedrijven +De website Antwoord voor bedrijven is per 15 september 2014 opgegaan in Ondernemersplein.nl. De website maakt ondernemers wegwijs door de grote hoeveelheid informatie van de overheid. Binnen- en buitenlandse dienstverleners vinden op deze website informatie van de overheid over onder meer wet- en regelgeving, vergunningen en aanvraagprocedures. Daarnaast kunnen zij via dit elektronische kanaal met overheidsorganisaties procedures en formaliteiten afwikkelen, zoals het aanvragen en verkrijgen van vergunningen. Antwoord voor bedrijven voert regelmatig gebruikersonderzoeken met een actief ondernemerspanel uit. Zo houden ze in de gaten of het loket aansluit op de wensen van de gebruikers.  +
Apparatuur positionering +In de Huisvesting-IV bevindt zich verschillende apparatuur. Deze apparatuur dient zo te zijn gepositioneerd en beschermd, dat verlies, diefstal, onderbreking van bedrijfsmiddelen wordt voorkomen .  +
Apparatuur verwijdering +Apparaten kunnen cruciale data bevatten. Het verwijderen van apparaten moet daarom volgens vastgestelde procedures plaatsvinden.  +
Applicatie architectuur +De applicatie architectuur beschrijft de samenhang tussen functionele en beveiligingseisen. Ook wordt er aandacht besteed aan de integratie aspecten met de infrastructuur. Vanuit een eenduidig beeld wordt de applicatie conform deze architectuur gerealiseerd. Richtlijnen, instructies, architectuur- en beveiligingsvoorschriften en procedures worden zodanig toegepast dat een samenhangend geheel ontstaat. Op deze manier wordt ook zeker gesteld dat de applicatie aan de vereiste functionele en beveiligingseisen voldoet.  +
Applicatie functionaliteiten +Applicatie functionaliteiten zijn interne functies binnen een applicatie die ondersteuning bieden aan (een) bedrijfsproces(sen). De functies kunnen worden onderverdeeld in invoer-, verwerking- en uitvoerfuncties. Binnen de functies worden controles en rekenregels ingebouwd om de gewenste acties te kunnen uitvoeren en gewenste resultaten te kunnen leveren. Het totaal aan functionaliteiten moet aan bepaalde eisen voldoen, zo moeten functionaliteiten: * voldoen aan de behoefte van de gebruikers; * de gebruikerstaken afdekken; * resultaten leveren die nauwkeurig zijn; * geschikt zijn om bepaalde taken te kunnen ondersteunen.  +
Applicatie ontwerp +Tijdens de ontwerpfase worden de (niet)functionele requirements omgezet naar een uitvoerbaar informatiesysteem. Een high level architectuur wordt ontwikkeld om de software te kunnen bouwen. Hierbij wordt, onder andere, aandacht besteed aan de gebruikte data door het systeem, de functionaliteit die geboden moeten worden, de toegepaste interfaces tussen componenten binnen het systeem en aan koppelingen met andere systemen. Ook worden constraints die voortvloeien uit specifieke beveiligingseisen verder uitgewerkt.  +
Applicatiebouw +Na de eerste twee ontwikkelfasen waarbij de nadruk ligt op de analyse van requirements en op het ontwerp van het product volgt de derde fase: de applicatiebouw. In deze derde fase wordt de programmacode gecreëerd op basis van good practices, methoden/technieken en bepaalde beveiligingsuitgangspunten.  +
Applicatiekoppelingen +Bij het ontwikkelen van applicatie kunnen mogelijk koppelingen tussen de in ontwikkel zijnde applicatie en andere applicaties noodzakelijk zijn. Vanuit beveiligingsoogpunt dienen dit soort koppelingen aan bepaalde eisen voldoen.  +
Applicatieontwikkeling Beleid +Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B.01</td> <td>Beleid voor (beveiligd) ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td>B.05</td> <td>Business Impact Analyse (BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens (GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td>B.08</td> <td>Toegangbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Control +Binnen het Control domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >C.01</td> <td >Richtlijnen evaluatie ontwikkelactiviteiten</td> <td >ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >C.02;</td> <td >Versiebeheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.03</td> <td >Patchmanagement van externe programmacode</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.04</td> <td >(Software)configuratie beheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.05</td> <td >Compliance management</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.06</td> <td >Quality assurance</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.07</td> <td >Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td >ISO27002: 14.2.3</td> <td >F</td> </tr> <tr> <td >C.08</td> <td >Beheersing van softwareontwikkeling(sprojecten</td> <td >CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Controldomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Uitvoering +Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoering domein een rol spelen|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >U.01</td> <td >;Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td >ISO27002: 14.2.2</td> <td >I</td> </tr> <tr> <td >U.02</td> <td >Beperkingen voor de installatie van software (richtlijnen)</td> <td >ISO27002: 12.6.2</td> <td >I</td> </tr> <tr> <td >U.03</td> <td >Richtlijnen voor programmacode (best practices)</td> <td >CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >U.04</td> <td >Analyse en specificatie van informatiesystemen</td> <td >Cobit</td> <td >F</td> </tr> <tr> <td >U.05</td> <td >Analyse en specificatie van informatiebeveiligingseisen</td> <td >ISO27002:14.1.1</td> <td >F</td> </tr> <tr> <td >U.06</td> <td >Applicatie ontwerp</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.07</td> <td >Applicatiefunctionaliteiten (invoer, verwerking, uitvoer)</td> <td >ISO27002:12.2.1, 12.2.2, 1.2.2.4, BIR 1.0</td> <td >F</td> </tr> <tr> <td >U.08</td> <td > Applicatiebouw</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.09</td> <td >Testen van systeembeveiliging</td> <td >ISO27002:14.2.8</td> <td >F</td> </tr> <tr> <td >U.10</td> <td >Systeemacceptatie tests</td> <td >ISO27002:14.2.9</td> <td >F</td> </tr> <tr> <td >U.11</td> <td >Beschermen van testgegevens</td> <td >ISO27002:14.3.1</td> <td >F</td> </tr> <tr> <td >U.12</td> <td >Beveiligde Ontwikkel- (en Test-)omgeving</td> <td >ISO27002: 14.2.6</td> <td >G</td> </tr> <tr> <td >U.13</td> <td >Applicatiekoppelingen</td> <td >ISO25010, NIST CA, CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.14</td> <td >Logging en monitoring</td> <td >CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.15</td> <td >Applicatie/software architectuur</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <tr> <td >U.16</td> <td >Tooling ontwikkelmethode</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Uitvoeringdomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Aquo-lex en Aquo Objecten Catalogus +Aquo-lex (het ‘waterwoordenboek') bevat circa 7.500 definities voor termen. De fouten die bij gegevensuitwisseling optreden, ontstaan vaak door verschil in betekenis. Door deze ‘standaardtaal' te gebruiken, wordt spraakverwarring tussen mensen en/of informatiesystemen voorkomen. Aquo-lex wordt geïntegreerd in de Aquo Objecten Catalogus (Aquo OC). Deze catalogus bevat relaties tussen de begrippen uit Aquo-lex. De gebruiker ervan kan snel termen vinden en in hun context plaatsen.  +
Aquo-standaard +Aquo-standaard – de uniforme taal voor de uitwisseling van gegevens binnen de watersector. De Aquo-standaard maakt het mogelijk om op een uniforme manier gegevens uit te wisselen tussen partijen die betrokken zijn bij het waterbeheer en draagt daarmee bij aan een kwaliteitsverbetering van het waterbeheer. Het eenvoudig en eenduidig delen van informatie leveren tijd- en geldwinst op. De Aquo-standaard is een open standaard en staat op de lijst met ‘pas toe of leg uit‘-standaarden van de overheid en bestaat uit meerdere onderdelen. Alle informatie is vrij toegankelijk en gratis te downloaden.  +
ArchiMate +Een beschrijvingstaal voor enterprise-architecturen.  +
Architectuur +Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.  +
Architectuur Board stelt doorontwikkeling in op drie katernen +Architectuur Board stelt doorontwikkeling in op drie katernen  +
Architectuurproducten +Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.  +
Authenticatie +Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.  +
Authenticatie-informatie +Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd door het toegangsmechanisme: gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Dit mechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. Het delen van toegangssleutels tot de informatie kan en mag nooit worden afgedwongen.  +
Authenticiteit +Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.  +
Authentiek gegeven +In een basisregistratie opgenomen gegeven dat bij wettelijk voorschrift als authentiek is aangemerkt  +
Autorisatie +Toegang (autorisatie) tot informatie en systeemfuncties (van toepassingen) moet worden beperkt in overeenstemming met het toegangbeveiligingsbeleid.  +
Autorisatie +Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen  +
Autorisatieproces +De ISO27002 en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele subprocessen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze subprocessen worden verder in bijlage 3 beschreven.  +
Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit +Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit.  +
Autorisatievoorzieningsfaciliteiten +Om autorisatie efficiënt en effectief te kunnen inrichten zijn er technische autorisatievoorzieningsmiddelen noodzakelijk, personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten.  +
B
BAG (Basisregistratie Adressen en Gebouwen) +De Basisregistratie Adressen en Gebouwen (BAG) is de registratie waarin gemeentelijke basisgegevens over alle gebouwen en adressen in Nederland zijn verzameld. De BAG is gebaseerd op de Wet basisregistraties adressen en gebouwen. Gemeenten zijn bronhouder van de gebouw- en adresgegevens. Alle bestuursorganen zijn verplicht om vanaf 1 juli 2011 gebruik te maken van de BAG bij de uitvoering van hun publiekrechtelijke taken.  +
BAG/BAG viewer +Website waar een BAG-kaart getoond wordt. Klikken op panden toont de onderliggende pand- en verblijfsobjectgegevens. Viewer toont actuele en historische gegevens. [https://bagviewer.kadaster.nl/lvbag/bag-viewer/index.html BAG viewer op website Kadaster].  +
BAG/Compact eenmalig of abonnement +BAG Compact is een XML-bestand met alle BAG-adressen op basis van een vaste peildatum van heel Nederland. Behalve adressen bevat het bestand ook adresgerelateerde elementen uit de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Compact.htm BAG Compact] op website Kadaster.  +
BAG/Digilevering +Abonnementenservice om realtime een bericht te ontvangen bij een wijziging in de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Digilevering.htm BAG Digilevering] op website Kadaster.  +
BAG/Extract +Levering van een totaalstand van alle BAG-gegevens voor het gevraagde gebied (volledige levenscyclus of op peildatum). Mogelijk om te selecteren op gemeente, meerder gemeenten of geheel Nederland. Een bestand van heel Nederland is permanent beschikbaar met een vertraging van maximaal één maand. Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de een totaalstand. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Extract.htm BAG Extract] op website Kadaster.  +
BAG/Extract mutaties +Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de totaalstand.  +
BAG/Geocodeerservice +Zoekservice van [https://www.pdok.nl/diensten#PDOK%20Locatieserver PDOK] waar men kan zoeken op administratiegegevens om daarna naar de positie op de kaart van het gegeven te gaan. Bij gegevens kan men denken aan o.a. adressen, straten, woonplaatsen (BAG), maar ook aan Kadastrale informatie (DKK), weginformatie (NWB), Wijk-en buurtinformatie en Waterschapsinformatie.  +
BAG/WMS-WFS via PDOK +Biedt BAG gegevens van een in de vraag gespecificeerde geografische contour, hetzij als ‘plaatje’ (WMS) hetzij als data, welke door de afnemer gevisualiseerd, opgeslagen en bewerkt kunnen worden. De WFS service is vooralsnog gemaximeerd op 15000 objecten. *[https://www.pdok.nl/nl/service/wms-bag BAG WMS] op website PDOK. *[https://www.pdok.nl/nl/service/wfs-bag BAG WFS] op website PDOK  +
BAG/bevragen +Webservice voor het geautomatiseerd bevragen van de LV-BAG met behulp van software van de afnemer. BAG Bevragen kan de volledige levenscyclus van een object opvragen. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Bevragen.htm BAG bevragen] op website Kadaster.  +
BGT (Basisregistratie Grootschalige Topografie) +De Basisregistratie Grootschalige Topografie (BGT) wordt een uniform topografisch basisbestand met objecten in heel Nederland op een schaal van 1:500 tot 1:5.000. Het doel van de realisatie van de BGT is dat de hele overheid gebruik maakt van dezelfde basisset grootschalige topografie van Nederland. Topografie is de beschrijving van de fysieke werkelijkheid. Dus de dingen die in het terrein fysiek aanwezig zijn.  +
BGT Gegevenscatalogus +De BGT vormt de kern (verplichtende deel) van het informatiemodel geografie (IMGeo). De verdiepingsslag van de BGT die in IMGeo is vastgelegd als het optionele deel, is bedoeld voor het opslaan en uitwisselen van beheer- en plustopografie. IMGeo zorgt ervoor dat wie de optionele informatie wil beheren en/of uitwisselen, dit volgens een landelijke standaard kan doen. IMGeo biedt ook voor 3D uitwisseling van grootschalige topografie een optionele standaard en baseert zich hiervoor op de internationale standaard CityGML.  +
BIO (Baseline Informatiebeveiliging Overheid) +De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De BIO is: * een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid; * een afgeleide van de huidige [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR2017]], die al in werking is voor het Rijk; * een concretisering van een aantal normen tot verplichte overheidsmaatregelen. Iedere overheidslaag heeft besloten de bestaande eigen baseline informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR2017. Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen. Een PDF-versie is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio] ==Hulpbronnen voor de toepassing v/d BIO in de praktijk== Het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] ontwikkelt i.s.m. het ministerie van BZK de zogenaamde BIO Thema's, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. We ontsluiten die op noraonline in de : → [[ ISOR (Information Security Object Repository)]]. Meer informatie en documenten van het CIP delen zij in het het forum op Pleio : → [https://cip.pleio.nl/ cip.pleio.nl]. Ook de Informatie Beveiligings Dienst (IBD), de sectorale CERT / CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO. : → [https://www.informatiebeveiligingsdienst.nl/producten/ informatiebeveiligingsdienst.nl/producten/]  +
BIO Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS +. [[Afbeelding:Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS.png|thumb|350px|Geïdentificeerde objecten ingedeeld naar IFGS|alt=”Geïdentificeerde objecten ingedeeld naar IFGS”]]  +
BIO Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model +. [[Afbeelding:Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model.png|thumb|350px|IFGS gekoppeld aan het V-model|alt=”IFGS gekoppeld aan het V-model”]]  +
BIO Thema Applicatieontwikkeling - Identificatie applicatieontwikkeling objecten +== Identificatie applicatieontwikkeling objecten== Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn: * welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan? ===De organisatie van applicatieontwikkelobjecten=== Zoals al in ISOR:Ontwikkelcyclus van applicatieontwikkeling is aangegeven worden de geïdentificeerde applicatie objecten op basis van de lagenstructuur: Beleid domein, Uitvoering domein en Control domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: 'Beleid domein': Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en verboden’, zoals applicatiebeveiligingsbeleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. 'Uitvoering domein': Binnen dit domein bevinden zich: * elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van het ontwikkelen van applicaties; * elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; en * elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. 'Control domein': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die naar wens verlopen. ===Observatie bij de exercitie van het identificeren van objecten uit ISO=== Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de ontwikkelfasen van systeem ontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel security controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen. ===Applicatieontwikkeling objecten geprojecteerd op BUC en gesorteerd naar IFGS=== Tabel 'Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC' geeft een overzicht van de applicatieontwikkeling objecten die in hoofdstukken [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleid domein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoering domein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control domein]] nader zijn uitgewerkt. Eerst is door de werkgroepleden, vanuit een ‘baseline-based’ benadering, een lijst gemaakt van de relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten door de werkgroep als relevant voor dit thema aangegeven (zie tabel 1). We zijn ons ervan bewust dat deze zogenaamde ‘baseline-based’ benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. We hebben ervoor gekozen om een ‘baseline-based’ toe te passen, om zo de overgang naar de Agile benadering beter te kunnen maken. Uit de inhoudelijke bestudering van de objecten, vanuit de ‘baseline-based’ benadering, bleken toch doublures te zijn in de objecten; m.a.w. twee verschillende objecten die dezelfde inhoud kenden. Sommige objecten hebben we vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope. We willen opmerken dat er verschillende termen gehanteerd worden, zoals informatiesystemen, applicaties, systemen, toepassingen. Het op te leveren document moet qua gebruikte termen consistent zijn, daarom hebben wij ervoor gekozen om de term ‘systeem’ in de betiteling van de control (dus het object) aan te passen naar Applicatieontwikkeling. ''Beleid'' [[Afbeelding:Thema Applicatieontwikkeling - Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Beleid-objecten]] ''Uitvoering'' [[Afbeelding:Thema Applicatieontwikkeling - Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Uitvoering objecten]] ''Control'' [[Afbeelding:Thema Applicatieontwikkeling - Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Control-objecten]] <table class="wikitable"> <tr> <th></th> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>Beleid domein</td> <td>B.01</td> <td>Beleid voor (beveiligd)ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td></td> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td></td> <td>B.05</td> <td>Business Impact Analyse(BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td></td> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens(GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>B.08</td> <td>Toegangsbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td></td> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td>Uitvoering domein</td> <td>U.01</td> <td>Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td>ISO27002: 14.2.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.02</td> <td>Beperkingen voor de installatie van software (richtlijnen)</td> <td>ISO27002: 12.6.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.03</td> <td>Richtlijnen voor programmacode(best practices)</td> <td>CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>U.04</td> <td>Analyse en specificatie van informatiesystemen</td> <td>Cobit</td> <td>F</td> </tr> <tr> <td></td> <td>U.05</td> <td>Analyse en specificatie van informatiebeveiligingseisen</td> <td>ISO27002:14.1.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.06</td> <td>Applicatie ontwerp</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.07</td> <td>Applicatiefunctionaliteiten(invoer, verwerking, uitvoer)</td> <td>ISO27002:12.2.1, 12.2.2, 12.2.4, BIR 1.0</td> <td>F</td> </tr> <tr> <td></td> <td>U.08</td> <td>Applicatiebouw</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.09</td> <td>Testen van systeembeveiliging</td> <td>ISO27002:14.2.8</td> <td>F</td> </tr> <tr> <td></td> <td>U.10</td> <td>Systeemacceptatie tests</td> <td>ISO27002:14.2.9</td> <td>F</td> </tr> <tr> <td></td> <td>U.11</td> <td>Beschermen van testgegevens</td> <td>ISO27002:14.3.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.12</td> <td>Beveiligde Ontwikkel- (en Test-)omgeving</td> <td>ISO27002: 14.2.6</td> <td>G</td> </tr> <tr> <td></td> <td>U.13</td> <td>Applicatiekoppelingen</td> <td>ISO25010,NIST CA, CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.14</td> <td>Logging en monitoring</td> <td>CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.15</td> <td>Applicatie architectuur</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td></td> <td>U.16</td> <td>Tooling ontwikkelmethode</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> <tr> <td>Control domein</td> <td>C.01</td> <td>Richtlijnen evaluatie ontwikkelactiviteiten</td> <td>ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>C.02</td> <td>Versiebeheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.03</td> <td>Patchmanagement van externe programmacode</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.04</td> <td>(Software)configuratie beheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.05</td> <td>Quality management</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.06</td> <td>Compliance Assurance</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.07</td> <td>Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td>ISO27002: 14.2.3</td> <td>F</td> </tr> <tr> <td></td> <td>C.08</td> <td>Beheersing van softwareontwikkeling(sprojecten</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Overzicht objecten ingedeeld naar BUC</caption></table>  +
BIO Thema Applicatieontwikkeling - Inleiding +==Inleiding== Het belang en de risico’s die de organisatie aan het bedrijfsproces of beheerproces stelt, bepalen inherent de eisen die gesteld moeten worden aan de applicatie(s) die het betreffende proces ondersteunen. De risicobeoordeling van de functionaliteit, gevoeligheid van de gegevens, belang van de applicatie voor de organisatie bepalen of en welke normen van toepassing zijn. Wij willen u erop attenderen dat in dit document de termen applicatie en informatiesysteem worden gehanteerd. De ISO spreekt over informatiesystemen, dit thema betreft applicaties, wat een onderdeel is van een informatiesysteem. Bij de controls hanteren we informatiesysteem om bij de tekst van de ISO te blijven. ===Context Applicatieontwikkeling=== Dit document bevat de uitwerking van het thema ‘Applicatieontwikkeling’. Een applicatie kan worden verworven door interne ontwikkeling, uitbesteding of inkoop van een commercieel product. Dit kan ook door een combinatie van interne ontwikkeling en uitbesteding (zie afbeelding 'Overzicht van type applicaties'). Hierbij kan het voortraject (het specificeren) door de klant zelf worden verricht terwijl het technische deel (het ontwikkelen) door de externe partij wordt uitgevoerd. Hierbij zullen extra afspraken over de beveiligingsaspecten gemaakt moeten worden. Gedurende de ontwikkelcyclus van de applicatie zal voldaan moeten zijn aan zowel functionele als beveiligingseisen. Ook moeten bij de ontwikkeling het informatiebeveiligingsbeleid, wet en regelgeving (o.a. AVG, BIO) en eisen ten aanzien van de technische omgeving worden betrokken. In dit thema zullen de beveiligingseisen ten aanzien van applicatieontwikkeling worden samengesteld. Het uitgangspunt hierbij is de noodzakelijke beveiligingseisen, in de vorm van controls en onderliggende maatregelen, uit de BIO en ISO27002 (2013) in een samenhangende context te plaatsen en waar nodig deze aan te vullen met controls uit andere ISO standaarden, NIST of Standard of Good practice. Alvorens de controls, die gerelateerd zijn aan objecten, te identificeren, wordt eerst een algemene ontwikkelcyclus beschreven om een beter beeld te krijgen over de te hanteren stadia. Deze exercitie is zinvol om de geïdentificeerde objecten uit ISO/BIO en overige standaarden beter contextueel in samenhang te plaatsen. De beschrijving van de stadia vindt plaats in § 1.4 ‘Ontwikkelcyclus van applicaties’. ===Doel van het thema Applicatieontwikkeling=== Dit thema is opgesteld om zowel de interne als de externe leverancier over een instrument te laten beschikken gericht op de implementatie van applicaties in de technische omgeving van de leverancier of van de klant zelf. Het thema geeft hiermee inzicht in de kwaliteitszorg die de leverancier dient toe te passen, en wat de klant kan verwachten, bij het opleveren van nieuwe software. Het geeft tegelijkertijd de verplichte activiteiten weer van de klant. Hiernaast kan het als instrument dienen voor het geven van inzicht in het beveiligings- en beheersingsniveau van de ontwikkel- en onderhoudsorganisatie van de leverancier. ===Scope en begrenzing van Applicatieontwikkeling=== In dit thema zullen we ons voornamelijk richten op conditionele, beveiligings- en beheersingsaspecten die gerelateerd zijn aan het ontwikkelen van applicaties. We beperken ons binnen dit thema tot het inhouse ontwikkelen van applicaties en waarbij geen aandacht wordt besteed aan: * de activiteiten die gerelateerd zijn aan onderhoud van applicaties, webapplicatie en ERP pakketten (zie afbeelding 'Overzicht van type applicaties'); * het type gebruikers- en business eisen omdat deze eisen organisatieafhankelijk zijn; * de toegangsbeveiligingsaspecten omdat deze aspecten in het thema ‘Toegangsbeveiliging’ en in de SIG ISO25010 geadresseerd zijn. [[Afbeelding:Thema Applicatieontwikkeling - Overzicht van type applicaties.png|thumb|350px|Overzicht van type applicaties|alt=”Overzicht van type applicaties”]] ===Ontwikkelcyclus van applicatieontwikkeling=== Een applicatie (software) wordt ontwikkeld om een (bedrijfs)proces te ondersteunen. Hiervoor dient eerst een context analyse te worden gemaakt om de juiste functionele vereisten te identificeren. De applicatie moet voldoen aan de behoeften van gebruikers en stakeholders in de vorm van wet- en regelgeving, eisen en requirements of te wel een Programma van Eisen (PvE). Dit PvE wordt ontwikkeld in samenwerking met informatie analisten, softwareontwikkelaars en -gebruikers. De kwaliteit (succes) van een applicatie wordt o.a. bepaald door: * hoe goed de applicatie het vastgestelde programma van eisen weerspiegelt; * hoe goed het programma van eisen de gebruikerseisen en wensen weerspiegelt; * hoe goed de gebruikerseisen en wensen de reële situatie (daadwerkelijke noodzakelijkheden) weerspiegelt. Slechte kwaliteit van het PvE wordt o.a. veroorzaakt door onjuistheden, verkeerde aannames, inconsistenties, onduidelijk taalgebruik en ontoereikendheid. Bij applicatieontwikkeling is een goede inrichting van projectmanagement en de te hanteren systeem ontwikkelmethode (Systeem Development Life cycle) essentieel. Het applicatieontwikkeling proces wordt verdeeld in activiteiten die niet noodzakelijk als sequentiële stappen doorlopen worden (zie ook §1.5 ‘Ontwikkelmethoden’). De onderkende activiteiten zijn: * analyseren; * specificeren; * ontwerpen; * ontwikkelen; * valideren(testen); * gebruik en beheer. Opmerking: Bij agile worden in ieder geval ontwikkelen en een deel van het valideren als één activiteit uitgevoerd. Een deel van het ontwerpen kan daar ook bij horen. Ook wordt het andere deel van valideren en gebruiken wel gelijktijdig gedaan. Hiervoor zijn verschillende modellen bekend. Afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen' geeft een schematische weergave van een ontwikkelproces in de vorm van het V-Model. De activiteiten zullen hieronder worden toegelicht. Ze verschaffen mogelijkheden om de geïdentificeerde operationele objecten uit BIO, ISO27001/2 en overige standaarden te rubriceren. [[Afbeelding:Thema Applicatieontwikkeling - De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen.png|thumb|350px|De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen|alt=”De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen”]] Hiernaast spelen ook essentiële randvoorwaardelijke- en beheersingselementen een rol bij de ontwikkel- en onderhoudsactiviteiten. De operationele-, randvoorwaardelijke- en beheersingselementen voor het thema Applicatieontwikkeling kunnen ingedeeld worden in drie domeinen: Beleid, Uitvoering en Control. Deze indeling wordt eveneens afgebeeld in afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen'. ''Perspectieven'' De linkerkant van het model beschrijft het ontwikkelperspectief en de rechterkant het gebruikersperspectief. Als de applicatieontwikkeling plaatsvindt bij een externe organisatie of een aparte businessunit zijn deze perspectieven gescheiden. Ingeval van uitbesteding wordt, afhankelijk van de afspraken tussen de klant en de leverancier, de rechterkant aangeduid als het leveranciersperspectief en de linkerkant als het klantperspectief. Hierover dienen klant en leverancier heldere afspraken te maken. Afspraken dienen gericht te zijn op: * het uitwisselen van kennis, specifiek over de overdracht van proceskennis van de (gebruiks)organisatie naar de ontwikkelorganisatie; * het tijdens het ontwikkelproces niet verstoren van het primaire proces; * het toezien op de bescherming van intellectuele eigendommen en van gevoelige informatie. De verantwoordelijken binnen het ontwikkelproces moeten verantwoording kunnen afleggen over de kwaliteit van het geleverde product. Om een goede beheersing te waarborgen is het vanuit best practices noodzakelijk de verschillende lifecycle stadia te isoleren in een eigen omgeving zodat gegarandeerd kan worden dat het primaire proces niet wordt verstoord. Daarbij vindt een expliciete afsluiting van een fase plaats zodat een gecontroleerde overgang mogelijk wordt. Dit concept wordt een OTAP-straat genoemd. ''Analyseren'' In deze fase wordt de context van het businessproces, dat door de te ontwikkelen applicatie ondersteund moet worden, geanalyseerd. Hierbij worden de noodzakelijke requirements, waaronder de bedrijfsfuncties, gegevens en veranderwensen vanuit de bedrijfsprocessen geïdentificeerd en vastgelegd. De focus ligt op de ‘waarom’ aspecten. Onder andere de volgende activiteiten worden uitgevoerd: * onderzoeken en brainstormen over de te ontwikkelen software, om duidelijkheid te krijgen wat het doel is van de software; * analyseren van eisen en wensen van gebruikers, beheerders en partners ten aanzien van functionele en niet-functionele aspecten. ''Specificeren'' Deze activiteit richt zich op de ‘wat’ aspecten. De business-, gebruikers-, stakeholders- (non)functionele- en data requirements worden gespecificeerd. Ook worden de noodzakelijke business rules en de noodzakelijke beperkingen in de vorm van constraints vastgelegd in een functioneel ontwerp. ''Ontwerpen'' Bij deze activiteit vindt de tijdens in de eerdere fase gedetailleerde en vastgestelde uitwerking van informatie en modellen plaats. Deze fase richt zich op de relaties en afhankelijkheden tussen de te bouwen componenten. Hierbij worden de bedrijfs- en procesvereisten gemodelleerd in een ontwerp (architectuur) voor het te bouwen informatie(deel)systeem. Aandacht dient besteed te worden aan de kwaliteitseisen gerelateerd aan gebruikers, functionaliteit en beveiliging. ''Ontwikkelen'' In deze fase worden de softwarecomponenten geconstrueerd (gecodeerd). De relaties en afhankelijkheden van de te automatiseren processen en modules worden vastgelegd in een softwarearchitectuur. Uiteindelijk zullen de programma’s geschreven worden op basis van deze (applicatie/software) architectuur. Hierbij moet ook rekening worden gehouden met enkele ontwikkeleisen, zoals: * reproduceerbaarheid van code; * effectief testbaarheid; * toepassing van externe programma bibliotheek; * toepassing tools en gebruik van licenties; * toepassing van gestandaardiseerde vocabulaire (ISO25010); * inzicht in relaties en afhankelijkheden tussen softwareobjecten; * softwarefeatures (eisen: interfaces, koppelingen, API’s); * richten op aantoonbaar veilig programmeren (Secure Software Design). ''Valideren'' In deze fase worden de ontwikkelde modules/programma’s getest en uiteindelijk geaccepteerd. Gecontroleerd wordt of de software volgens de ontwerprichtlijnen is gebouwd. In deze fase kunnen ook fouten boven water komen die al in eerdere stadia gemaakt zijn. In deze fase wordt aandacht besteed aan bepaalde eisen, zoals: * de applicatie biedt slechts die functionaliteit die in de specificaties/ontwerp zijn opgenomen. (m.a.w.: geen functionaliteit buiten specificaties/ontwerp); * conformiteit aan de gespecificeerde functionaliteit (gebruikers)/ontwerp (Security by Design), AVG). ''Gebruiken'' Als de software voltooid en getest is zal het in gebruik genomen moeten worden volgens een standaardprocedure van de ‘OTAP-straat’. ''Onderhoud/Beheer'' Tenslotte dient de software periodiek op basis van nieuwe functionele eisen en of voorkomende fouten te worden onderhouden en (weer) in beheer te worden genomen. ===Ontwikkelmethoden=== Er zijn verschillende modellen voor het ontwikkelen van applicaties, zoals: lineair, iteratief en Agile. * 'Lineaire methode' Het meest bekend voorbeeld is de watervalmethode (zie §1.4). In deze lineaire ontwikkelmethode wordt het eindproduct (softwareproduct) in een aantal fases opgeleverd. In elke fase wordt een concreet gedefinieerd deelproduct vervaardigd. Requirements moeten duidelijk zijn en vooraf zijn vastgelegd. Kennisoverdracht en monitoring vinden plaats op basis van specifieke documenten en formats. * 'Iteratieve ontwikkelmethode' Iteratieve ontwikkeling is een methode waarbij het eindproduct niet in één keer wordt opgeleverd, maar gefaseerd tot stand komt, waarbij fases herhaaldelijk worden doorlopen. Na elke zogenaamde iteratie wordt het proces geëvalueerd en zo nodig aangepast. In de praktijk worden iteratieve- en lineaire ontwikkelmethoden met elkaar gecombineerd. * 'Agile methode' Een agile methode wordt gekenmerkt door korte, in tijd gelimiteerde sprints. De inhoud van een sprint wordt bij de start ervan bepaald. De gevolgde werkwijze kan (dagelijks) worden aangepast al naar gelang de wensen van de zelfsturende teams. Er wordt gebruik gemaakt van een geordende lijst van product features die gedurende het gehele project wordt bijgewerkt op basis van de behoefte van de klant. Daarmee worden in feite de productspecificaties opgebouwd. De nadruk ligt op samenwerking en mondelinge kennisoverdracht. Prioriteit wordt gegeven aan het opleveren van sprints en producten met de op dat moment hoogste toegevoegde waarde. De sprints worden gedaan door zelfsturende teams met multidisciplinaire teamleden en zonder vastgelegde taken, rollen en verantwoordelijkheden. Afbeelding 'Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model' geeft een schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model. [[Afbeelding:Thema Applicatieontwikkeling - Schematische weergave van een iteratie agile ontwikkelproces in de vorm van het V-Model.png|thumb|350px|Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model|alt=”Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model”]] ===Applicatie objecten uit baseline in relatie tot ontwikkelmethode=== Bij de selectie van applicatie objecten uit ISO en overige baselines is in eerste instantie uitgegaan van de lineaire-/iteratieve aanpak van applicatieontwikkeling. Mogelijk volgen later een versie die gerelateerd is aan applicatieonderhoud en een versie die gerelateerd is aan de Agile methode. Dit zullen aparte documenten zijn die overeenkomsten zullen hebben met dit document, maar vanuit de optiek van onderhoud of Agile aanpak kunnen objecten aangepast en/of toegevoegd worden.  +
BIO Thema Applicatieontwikkeling - SIG ISO25010 model voor technische maatregelen applicatiebeveiliging +tekst wordt later toegevoegd  +
BIO Thema Communicatievoorzieningen - Definitie van objecten +<table class="wikitable"> <tr> <th>  Objectnaam  </th> <th>  Betekenis van de objecten in relatie tot  het thema  </th> <th>  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  De waarborging  van de bescherming van informatie in netwerken, door inzet van  beheerprocedures voor informatietransport en het hanteren van procedures voor  bewaking van netwerken.  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  informatietransport  </td> <td>  Contracten en  afspraken, waarin het dienstverleningsniveau, beveiligingsmechanismen en  beheersingseisen voor netwerkdiensten zijn vastgelegd, zowel voor intern  geleverde diensten als voor uitbestede diensten.  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  </td> <td>  Beleid en  afspraken, specifiek gericht op de toepassing van cryptografie binnen  netwerken en communicatieservices.  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  netwerkbeheer  </td> <td>  Opzet van de  administratieve organisatie van netwerk en communicatiebeheer.  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  netwerkbeveiliging  </td> <td>  Algemene,  operationele beveiligingsrichtlijnen voor ontwerp, implementatie en beheer  van communicatievoorzieningen.  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedures  </td> <td>  Is gerelateerd  aan twee aspecten: Aanmelden en Procedure.  ·  Aanmelden (inloggen) behelst het leggen van een  verbinding- via authenticatie middelen.  ·  De procedure is de samenhangende beschrijving van  welke activiteiten moeten plaatsvinden.  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  Het beheer van  beveiligingsprocedures en -mechanismen.  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  geheimhoudingsovereenkomst  </td> <td>  De eisen die aan  dienstverleners en partners gesteld worden in de operatie voor het waarborgen  van de vertrouwelijkheid van gegevens en de uitvoering van bedrijfsprocessen.  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  netwerkdiensten  </td> <td>  De eisen die aan  dienstverleners gesteld worden t.a.v. te nemen maatregelen voor  beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van de  beheerprocessen.  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering en  filtering  </td> <td>  Gaat over twee  aspecten: Scheiding en Gecontroleerde doorgang.  ·  Scheiding is het positioneren van netwerken in  afzonderlijke fysieke ruimten of het segmenteren van netwerken in  afzonderlijk te beveiligen (logische) domeinen.  ·  Gecontroleerde doorgang is het reguleren van de  toegang van personen tot netwerkvoorzieningen en/of het en filteren van  informatiestromen op basis van beleidsregels met filters en algoritmen.  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  Beveiliging van  elektronisch berichtenverkeer, zoals b.v. e-mail, web-verkeer, chat-sessies  en ‘streaming’ audio en video. Beveiliging omvat maatregelen voor bescherming  van het berichtenverkeer, zoals geautoriseerde toegang, correcte adressering  en integer datatransport, beschikbaarheid en (wettelijke) bepalingen voor  elektronische handtekening en onweerlegbaarheid.  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen via  openbare netwerken  </td> <td>  Gebruik van  openbare netwerken voor uitwisseling van informatie van uitvoeringsdiensten  vereist bescherming tegen inbraak, waarmee frauduleuze praktijken, geschillen  over contracten en onbevoegde openbaarmaking of onbevoegde wijziging kunnen  worden voorkomen.  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateway / Firewall  </td> <td>  Beveiligingsmechanisme  voor zonering en gecontroleerde toegang.  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual Private Networks (VPN)  </td> <td>  Beveiligingsmechanisme  voor het inrichten van een vertrouwd toegangspad tussen 2 of meerdere  netwerk-nodes.  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische services  </td> <td>  Versleuteling van  netwerkverkeer, met behulp van hardware of software voorzieningen, die kunnen  voorkomen op alle zeven lagen van het OSI-model. Cryptografische services voor communicatie  met partners en burgers maken gebruik van Public Key Infrastuctuur middelen,  zoals de aan certificaten gebonden private en publieke sleutels.  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  Toegang tot  draadloze netwerken bedoeld voor mobiele communicatie.  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerk connecties  </td> <td>  Verbindingen  netwerk-eindpunten (nodes) worden beheerd en zijn vastgelegd in een  netwerktopologie.  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerk authenticatie  </td> <td>  Voorziening, die  controleert of een netwerkdevice geautoriseerd is om op het netwerk te kunnen  worden aangesloten.  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerkbeheeractiviteit  </td> <td>  Activiteiten die  uitsluitend door netwerkbeheerders kunnen worden uitgevoerd op  communicatievoorzieningen.  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen netwerkevents  </td> <td>  Het uniek en  onveranderlijk vastleggen van (beveiligings) gebeurtenissen in een netwerk  (in een audit-logfile).  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerksecurityarchitectuur  </td> <td>  Beschrijving en  beelden van de structuur en onderlinge samenhang van de verschillende  beveiligingsfuncties in een netwerk.  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving richtlijnen netwerkbeheer en evaluatie.  </td> <td>  Evaluatie op de  naleving van netwerkbeveiligingsbeleid.  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerksecurity Compliance checking  </td> <td>  Periodieke  toetsing en managementrapportage over naleving van het beveiligingsbeleid  voor netwerkdiensten.  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren robuustheid  netwerkbeveiliging  </td> <td>  Toetsing van de  robuustheid (resilience) van beveiligingsfuncties in  communicatievoorzieningen.  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren gebeurtenissen (monitoring)  </td> <td>  Het beoordelen  van de (doorlopend) verzamelde security gerelateerde gebeurtenissen in  netwerken.  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  De opzet van een  toereikende organisatiestructuur voor het beheren van- en rapporteren over  netwerken en communicatievoorzieningen.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Omschrijving van de geïdentificeerde ISO-27002 objecten</caption></table>  +
BIO Thema Communicatievoorzieningen - Inleiding +. Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit de ISO27001-annex A, de BIO (Baseline Informatiebeveiliging Overheid), op de implementatiegids ISO27033 en tevens op Best Practices als: SoGP, NIST, BSI en COBIT. ==Opzet van het thema== Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO 1.0 overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI, de NIST en SoGP. NORA patronen zijn gebruikt voor figuren en begeleidende teksten. De implementatiegids ISO-27033-deel 1 t/m 6 biedt, gerelateerd aan de ISO-27002, overzicht en een technische duiding van “Network security”. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema; # scope en begrenzing; # identificatie van beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen, inclusief de referenties; # globale relaties van de geïdentificeerde beveiligingsobjecten (toepassing); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten. ==Context van Communicatiebeveiliging== De basis voor de uitwerking van het thema Communicatievoorzieningen is ISO-27002 ( als baseline voor de overheid 1:1 omgezet in de BIO). In hoofdstuk 13 daarvan worden verschillende type communicatievoorzieningen genoemd, zoals geïllustreerd in afbeelding 'Communicatiebeveiliging volgens BIO'. * openbare diensten - het gebruik van openbare diensten, zoals: Instant messaging en sociale media (vehikel); * elektronische berichten - informatie opgenomen in elektronische berichten (inhoud); * informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (inhoud); * netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel); * netwerk(infrastructuur) - dit betreft de fysieke en logische verbindingen (vehikel). Beveiligingsobjecten met bronverwijzing Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Afbeelding 'Soorten netwerkkoppelingen' schetst de belangrijkste soorten van netwerkkoppelingen: *tussen organisaties onderling; * tussen organisaties en publieke netwerken; * binnen organisaties. [[Afbeelding:Thema Communicatievoorzieningen - Soorten netwerkkoppelingen.png|thumb|350px|Soorten netwerkkoppelingen|alt=”Soorten netwerkkoppelingen”]] Doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie. De beveiligingsmaatregelen binnen ISO hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering en compartimentering, tezamen ”zonering” genoemd. Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: “Vertrouwd toegangspad” en beveiliging in “Koppelvlakken”. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment. ==Scope en Begrenzing== Dit thema omvat de set communicatiebeveiligingsobjecten en maatregelen voor netwerkvoorzieningen, zoals weergegeven in afbeelding 'Communicatiebeveiliging volgens BIO'. De uitwerking van dit thema beperkt zich tot deze type communicatie voorzieningen. NB: Hiervoor zijn de ISO implementatiegidsen: ISO27033-2- 27033-6 en NORA patronen in adviserende zin beschikbaar. De ISO27033 draagt de titel: Information technology- Networksecurity, bedoeld als implementatiegids voor de ISO27002. De ISO-27033 bestaat uit 6 delen. Deel 1 bevat algemene ‘controls’ voor communicatiebeveiliging, deel 2 beschrijft ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP netwerktoegang. Er zijn essentiële objecten uit andere baselines gebruikt, die gerelateerd zijn dit type communicatie voorzieningen. Bepaalde type communicatiefaciliteiten, zoals: VOIP, intranet en extranet zijn in dit thema niet uitgewerkt. Er wordt niet diepgaand op: * bepaalde type verbindingen, zoals VPN en Gateway verbindingen; * communicatie voorzieningen, zoals: instant messaging en email. Tabel 'Relevante beveiligingsobjecten met referentie naar standaarden' geeft een overzicht van relevante beveiligingsobjecten voor communicatievoorzieningen, afkomstig uit de ISO27002 standaard, die de BIO exact volgt qua hoofdstukindeling en controlteksten. Voor die onderwerpen waarvoor de BIO geen control heeft geformuleerd, is gerefereerd naar andere standaarden, zoals de ISO-implementatiestandaard voor Netwerkbeveiliging: ISO27033 deel 1-6, waarin tevens de relaties zijn gelegd met de ISO27002. <table class="wikitable"> <tr> <th>  Nr.  </th> <th>  Relevante  beveiligingsobjecten  </th> <th>  Referentie  naar standaarden  </th> <th>  IFGS  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  BIO:13.2.2.1,  ISO27033-1: 6.2  </td> <td>  I  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  over informatietransport  </td> <td>  BIO:13.2.2,  ISO27033-1  BSI  IT-Grundschutz: S.6  </td> <td>  F  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  voor communicatievoorzieningen  </td> <td>  BIO: 10.3.1,  18.1.5.1  ISO27033-1: 8.8,  </td> <td>  G  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  van netwerkbeheer  </td> <td>  BSI S4.2,  ISO27033-1: 8.2  ITIL: Netwerkbeheer  </td> <td>  S  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  voor netwerkbeveiliging  </td> <td>  BIO:8.2.2.3,  ISO27033-1  ISO27033-2: 6,7,8  </td> <td>  I  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedure  </td> <td>  BIO:9.4.2,  ISO27033-1: 8.4  </td> <td>  I  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  BIO:13.1.1,  ISO27033-1: 8.2, 8.2.2  </td> <td>  F  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  en geheimhoudingsovereenkomst  </td> <td>  BIO:13.2.4,  SoGP: NW1.1  </td> <td>  F  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  van netwerkdiensten  </td> <td>  BIO:13.1.2,  ISO27033-1: 10.6  </td> <td>  F  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering  en filtering  </td> <td>  BIO:13.1.3,  ISO27033-1: 10.7  ISO27033-2:  7.2.3  NORA  Patronen: Zoneringsmodel  </td> <td>  F  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  BIO:13.2.3,  ISO27033-1: 10.3, 10.8  </td> <td>  F  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen  via openbare netwerken  </td> <td>  BIO:  14.2.1  </td> <td>  F  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateways  en firewalls  </td> <td>  ISO27033-4,  SoGP: NC1.5  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual  Private Networks (VPN)  </td> <td>  ISO27033-5  NORA Patronen: Vertrouwd toegang-pad  </td> <td>  G  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische  services  </td> <td>  BIO:10, ISO27033-1:  8.2.2.5  SoGP: NC1.1  NORA  Patronen: Encryptie  </td> <td>  G  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  ISO27033-6  NORA Patronen: Draadloos netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerkconnecties  </td> <td>  BIO:8.2.2.5,  ISO27033-1  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerkauthenticatie  </td> <td>  NORA  Patronen: Beschouwingsmodel Netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerk beheeractiviteiten  </td> <td>  ISO27033-1: 8.4, ISO27033-2: 8.4  </td> <td>  G  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen  en monitoren van netwerkgebeurtenissen (events)  </td> <td>  ISO27033-1:  8.5  ISO27033-2: 8.5  </td> <td>  G  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerk beveiligingsarchitectuur  </td> <td>  BIO:9.2, ISO27033-1  ISO27033-2: 8.6  SoGP: Network design  NORA Patronen: Diverse patronen  </td> <td>  S  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving  richtlijnen netwerkbeheer en evaluaties  </td> <td>  BIO:18.2.3,  SoGP: SM1.1.1, SM3.5.2  </td> <td>  I  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerkbeveiliging  compliancy checking  </td> <td>  BIO:8.2.2.4,  ISO27033-1  ISO27033-2: 7.2.6, 8.7  </td> <td>  F  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren  van robuustheid netwerkbeveiliging  </td> <td>  BIO:18.1.2,  18.2.1,  ISO27033-1: 8.2.5, SoGP: NW1.3  </td> <td>  F  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren  van netwerkgebeurtenissen (monitoring)  </td> <td>  BIO:8.2.4,  ISO27033-1  </td> <td>  G  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  ISO27003: ISMS, SoGP: NW1.4  </td> <td>  S  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Relevante beveiligingsobjecten</caption></table> ==Relaties tussen de geïdentificeerd beveiligingsobjecten== Afbeelding 'Toepassing van beveiligingsobjecten' geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een Informatievoorzieningslandschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van Netwerk Connecties (NC) die de verschillende netwerken en informatievoorzieningen met elkaar verbinden. Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s. Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie. Cryptografische services verzorgen zonering voor gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt. In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via Wireless Access en beveiligd met o.a. netwerkauthenticatie. Een netwerkbeheerorganisatie draagt op basis van richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het ‘up-to-date’ houden van beveiligingsmaatregelen. Via vastleggen van events, evaluatie netwerkmonitoring en evalueren van netwerkbeveiliging wordt de actuele werking van de maatregelen getoetst en waar nodig versterkt. [[Afbeelding:Thema Communicatievoorzieningen - Toepassing van beveiligingsobjecten.png|thumb|350px|Toepassing van beveiligingsobjecten|alt=”Toepassing van beveiligingsobjecten”]] Meer over de technologie van de beveiligingsobjecten is te vinden op de NORA Wiki; thema Beveiliging, (www.noraonline.nl) bij de “Patronen voor informatiebeveiliging”. ==Presentatie van de objecten in de BUC/IFGS matrix== Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven, in zowel de lagen B-U-C, als in de IFGS-kolommen. De grijs ingekleurde zijn ‘generiek’. Voor de wit- ingekleurde objecten heeft de BIO geen control gedefinieerd, deze objecten zijn voor het grootste deel afkomstig uit de ISO27033 implementatiegidsen deel 1 t/m 6. [[Afbeelding:Thema Communicatievoorzieningen - Overzicht beveiligingsobjecten.png|thumb|350px|Overzicht beveiligingsobjecten|alt=”Overzicht beveiligingsobjecten”]]  +
BIO Thema Communicatievoorzieningen - Verbindingsdocument +==Inleiding en doel== Dit document biedt de gebruiker een korte samenvatting van het thema Communicatievoorzieningen en legt daarbij een verbinding tussen de BIO-norm met de uitvoeringspraktijk. Doel van dit document en elk BIO-thema, is organisaties handvatten te bieden en wegwijs te maken in welke beveiligingsnormen van toepassing zijn per aandachtsgebied en welke praktijkhulp daarbij beschikbaar is. ==Context== De basis voor de uitwerking van het thema Communicatievoorzieningen is de BIO en daarmee in het bijzonder Hoofdstuk 13 van ISO-27002; hierin worden verschillende type communicatievoorzieningen genoemd, zoals geschetst in onderstaande figuur: * Openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media (IV); * Elektronische berichten – Informatie opgenomen in elektronische berichten (Data); * Informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (Data); * Netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor de beveiligen netwerkdiensten, zoals authenticatie (IV); * Netwerk (infrastructuur) - het betreft fysieke en logische verbindingen (IV). Iedere organisatie met klantprocessen, gebruikt communicatievoorzieningen en heeft daarvoor één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via de onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. De beveiligingsmaatregelen binnen ISO hebben betrekking op de boven vermelde communicatievoorzieningen. Een van de belangrijkste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering. Hierbij zijn beveiligingsobjecten van toepassing, zoals: zonering, filtering, vertrouwd toegangspad en koppelvlakken. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium) bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. ==Beveiligingsobjecten met cross reference naar handreikingen== Tabel "Beveiligingsobjecten met bronverwijzing" geeft een overzicht van de relevante, voor communicatiebeveiliging toe te passen beveiligingsobjecten, die afgeleid zijn van BIO-controls met een verwijzing naar praktische handreikingen. Daar waar er sprake is van een 1:1 relatie met BIO-controls, is dat hieronder aangegeven. De handreikingen zijn de door ISO gepubliceerde implementatiegidsen zoals ISO27033, de NIST, de Standard of Good Practice van ISF en NORA patronen. Hieronder is gekozen voor een alfabetische bronverwijzing per document, waarbij na de letter, b.v: a) het hoofdstuk/paragraaf wordt vermeld. De Bronverwijzing geeft het Documentnaam, Versie, Eigenaar en Toelichting. Voor dreigingen, aanbevelingen, planning en ontwerp van organisatie en techniek, kan de BSI: IT-Grundschutz catalogues worden geraadpleegd, die vrij toegankelijk is op internet; zie bronverwijzing. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0lax">  Beveiligingsobject  </th> <th class="tg-0lax">  BIO Control  </th> <th class="tg-0lax">  Handreikingen  Zie Bronverwijzing voor  documentnaam en details.  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  Beleid en procedures  informatietransport  </td> <td class="tg-0lax">  13.2.1  </td> <td class="tg-0lax">  a)-6.2  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  Overeenkomsten  informatietransport  </td> <td class="tg-0lax">  13.2.2  </td> <td class="tg-0lax">  g)-S.6  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  Cryptografiebeleid  </td> <td class="tg-0lax">  10.1.1; 18.1.5.1  </td> <td class="tg-0lax">  a)- 8.8  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  Organisatiestructuur  Netwerkbeheer  </td> <td class="tg-0lax">  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2, l)  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  Richtlijnen  netwerkbeveiliging  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a) -8.2.2.3, b)-6,7,8  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  Beveiligde  inlogprocedure  </td> <td class="tg-0lax">  9.4.2  </td> <td class="tg-0lax">  a)-8.4  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  Netwerk  beveiligingsbeheer   </td> <td class="tg-0lax">  13.1.1  </td> <td class="tg-0lax">  a)-8.2  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  Vertrouwelijkheid/geheimhoudingsovereenkomst  </td> <td class="tg-0lax">  13.2.4  </td> <td class="tg-0lax">  j) Roles and Responsibilities NW1.1  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  Beveiliging  netwerkdiensten  </td> <td class="tg-0lax">  13.1.2  </td> <td class="tg-0lax">  a)-10.6  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  Zonering en  filtering  </td> <td class="tg-0lax">  13.1.3  </td> <td class="tg-0lax">  a)-10.7, b)-7.2.3,  i)-Zoneringsmodel  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  Elektronische  berichten  </td> <td class="tg-0lax">  13.2.3  </td> <td class="tg-0lax">  a)-10.3, 10.8  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  Toepassingen via  openbare netwerken  </td> <td class="tg-0lax">  14.2.1  </td> <td class="tg-0lax">     </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  Gateway / Firewall  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  d) geheel, i)-NORA  Koppelvlak, j)-NC1.5  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  Virtual Private  Networks (VPN)  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  e) geheel, i)-NORA Vertrouwd  toegangspad  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  Cryptografische service  </td> <td class="tg-0lax">  Hoofdstuk 10  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Encryptie patronen, j) NC1.1  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  Wireless Access  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  f) geheel, i)-NORA  Draadloos netwerk  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <tr> <td class="tg-0lax">  Netwerk connecties  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Koppelvlak  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk  authenticatie  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  i)-NORA  Beschouwingsmodel Netwerk  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerkbeheeractiviteit  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  a), b)-8.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Vastleggen  netwerkevents  </td> <td class="tg-0lax">  12.4  </td> <td class="tg-0lax">  a), b)-8.5  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security  architectuur  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-9.2, b)-8.6, NORA div. patronen, j) Network design  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Naleving richtlijnen  netwerkbeheer en evaluaties  </td> <td class="tg-0lax">  18.2.2  </td> <td class="tg-0lax">  j) Corporate Governance: SM1.1.1, SM3.5.2  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security compliancy checking  </td> <td class="tg-0lax">  18.2.3  </td> <td class="tg-0lax">  a)-8.2.2.4, b)-7.2.6, 8.7  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren robuustheid  netwerkbeveiliging  </td> <td class="tg-0lax">  18.2.1,  18.1.2,  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2.5, j) Network resilience: NW1.3  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren  gebeurtenissen (monitoring)  </td> <td class="tg-0lax">  16.1  </td> <td class="tg-0lax">  a)-8.2.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Beheersorganisatie Netwerkbeveiliging  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  n), j) Network  Documentation: NW 1.4  </td> <td class="tg-0lax"></td> <caption align="bottom">Communicatievoorzieningen, ISOR:Communicatievoorzieningen - Beveiligingsobjecten met bronverwijzing</caption></table> [[Categorie:ISOR]]‏ [[Categorie:BIO Thema Communicatievoorzieningen]] ==Overzicht objecten gepositioneerd in BUC/IFGS matrix== Hieronder zijn alle onderwerpen voor communicatiebeveiliging samengevat. Vervolgens worden deze onderwerpen (objecten) verbonden aan BIO-‘controls’, of aan controls uit andere relevante standaarden. De figuur 'Voor Communicatievoorzieningen relevante beveiligingsobjecten' is het resultaat van een volledigheidsanalyse, uitgevoerd met de SIVA methode (zie: SIVA toepassingssystematiek). De wit ingekleurde objecten zijn relevant voor het thema, maar ontbreken als control in de ISO 27002. Ze zijn afkomstig uit andere standaarden en ISO implementatiegidsen (zie: cross-reference). [[Afbeelding:Thema Communicatievoorzieningen - Voor Communicatievoorzieningen relevante beveiligingsobjecten.png|thumb|350px|Voor Communicatievoorzieningen relevante beveiligingsobjecten|alt=”Voor Communicatievoorzieningen relevante beveiligingsobjecten”]] ==Bronverwijzing== Onderstaande lijst van brondocumenten verwijst waar mogelijk naar publiek- toegankelijke documenten. * Om ‘dode’ verwijzingen te voorkomen is minimaal gebruik gemaakt van links. * Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. * Op NEN-ISO/IEC documenten rusten licentierechten; voor de overheid zijn deze afgekocht (log in via NEN-connect). * Voor raadplegen van ISF documenten, zoals o.a. de SoGP moet de gebruikersorganisatie lid zijn van het ISF. * IT-Grundschutz, NORA en NIST zijn vrij toegankelijk op internet. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-s268">  Nr.  </th> <th class="tg-0lax">  Documentnaam  </th> <th class="tg-0lax">  Versie  </th> <th class="tg-0lax">  Eigenaar  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  a)  </td> <td class="tg-0lax">  ISO  27033 Deel 1  </td> <td class="tg-0lax">  Aug  2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  b)  </td> <td class="tg-0lax">  ISO  27033 Deel 2  </td> <td class="tg-0lax">  Aug 2012  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  c)  </td> <td class="tg-0lax">  ISO  27033 Deel 3  </td> <td class="tg-0lax">  Dec 2010  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  d)  </td> <td class="tg-0lax">  ISO  27033 Deel 4  </td> <td class="tg-0lax">  Feb  2014  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  e)  </td> <td class="tg-0lax">  ISO  27033 Deel 5  </td> <td class="tg-0lax">  Aug  2013  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  f)  </td> <td class="tg-0lax">  ISO  27033 Deel 6  </td> <td class="tg-0lax">  Juni  2016  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  g)  </td> <td class="tg-0lax">  BSI: IT-Grundschutz  </td> <td class="tg-0lax">  2013  </td> <td class="tg-0lax">  DE  gov.  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  h)  </td> <td class="tg-0lax">  NIST  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  US gov.  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  i)  </td> <td class="tg-0lax">  NORA,  thema beveiliging  </td> <td class="tg-0lax">  Wiki  </td> <td class="tg-0lax">  NL gov.  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  j)  </td> <td class="tg-0lax">  ISF  Standard of Good Practice (SoGP)  </td> <td class="tg-0lax">  2007  </td> <td class="tg-0lax">  ISF  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  k)  </td> <td class="tg-0lax">  NCSC  (diverse documenten)  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  NCSC  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  l)  </td> <td class="tg-0lax">  ITIL  </td> <td class="tg-0lax">  Versie 3  </td> <td class="tg-0lax">  ITIL foundation  </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  m)  </td> <td class="tg-0lax">  ISO 18033-1 General  </td> <td class="tg-0lax">  Aug 2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  n)  </td> <td class="tg-0lax">  ISO 27003 ISMS  </td> <td class="tg-0lax">  Apr 2017  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  o)  </td> <td class="tg-0lax">  ISO 18033-2  </td> <td class="tg-0lax">  Juni  2006  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  p)  </td> <td class="tg-0lax">  SIVA toepassingssystematiek  </td> <td class="tg-0lax">  Versie  0.4  </td> <td class="tg-0lax">  Werkgroep Normatiek  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Bronverwijzing</caption></table> [[Categorie:ISOR]] [[Categorie:BIO Thema Communicatievoorzieningen]]  +
BIO Thema Huisvesting Informatievoorziening +Dit document bevat een referentiekader voor Huisvesting Informatievoorziening (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BOI v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST en Cobit. <br /> Afbeelding 'Positie van het themadocument "Huisvesting Informatievoorziening' geeft de positie weer van het themadocument "BIO thema Huisvesting Informatievoorziening". [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|300px|Positie van het themadocument "Huisvesting Informatievoorziening|alt=”Positie van het themadocument "Huisvesting Informatievoorziening”]] <br /> Afbeelding 'Overzicht van thema’s en de positie van Huisvesting IT Infrastructuur' geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur.png|thumb|Left|500px|Overzicht van thema's en de positie van Huisvesting IT Infrastructuur|Alt="Overzicht van thema's en de positie van Huisvesting IT Infrastructuur"]]  +
BIO Thema Huisvesting Informatievoorziening - Inleiding +==Inleiding== Dit document bevat een referentiekader voor Huisvesting Informatievoorzieningen (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BIO v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST, en Cobit. Onderstaande afbeelding geeft de relatie weer tussen het thema Huisvesting Informatievoorziening, verder genoemd Huisvesting Informatievoorziening, en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema’s en positie van Huisvesting IT Infrastructuur.png|thumb|left|500px|Overzicht van thema’s en positie van Huisvesting IT Infrastructuur|alt=”Overzicht van thema’s en positie van Huisvesting IT Infrastructuur”]] ==Huisvesting Informatievoorziening== In dit document wordt een set beveiligingsmaatregelen met betrekking tot het thema Huisvesting Informatievoorziening uitgewerkt. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (bronobjecten) uit de ISO 27001 (2013) en BIR 2017/BIO 2017 v0.5. Eventueel ontbrekende bronobjecten, die uit analyses voortvloeien, worden betrokken uit andere baselines, zoals Standard of Good Practice, NIST en uit Handboeken van organisaties die in de praktijk gehanteerd worden. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in onderstaande afbeelding weergegeven. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|200px|Relatie documenten en thema|alt=”Relatie documenten en thema”]] De bronobjecten uit de ISO-norm en uit de BIR en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de bronobjecten en de bijbehorende maatregelen georganiseerd zijn in drie domeinen: Beleid, Uitvoering en Control. Onderstaande afbeelding schetst de structuur waarin een relatie wordt gelegd tussen het objecten binnen het Beleiddomein, het Uitvoering domein en het Controldomein voor Huisvesting Informatievoorziening. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie tussen de Beleid, Uitvoering en Control objecten.png|thumb|left|500px|Relatie tussen de Beleid, Uitvoering en Control objecten|alt=”Relatie tussen de Beleid, Uitvoering en Control objecten”]] ==Scope en begrenzing van Huisvesting Informatievoorziening== De eisen die gesteld moeten worden aan Huisvesting Informatievoorziening, worden in het bijzonder bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT diensten en de daarvoor benodigde Huisvesting. Het management van de doelorganisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type Huisvesting Informatievoorziening past bij de organisatie. De volgende drie opties zijn mogelijk: *''Fysieke Huisvesting'': bij deze de traditionele Huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie en welke onder beheer is van de doelorganisatie. *''Modulaire Huisvesting'': bij deze vorm van de Huisvesting is het rekencentrum ondergebracht in mobiele bouwblokken, welke flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers). *''Virtuele Huisvesting'': bij deze vorm van Huisvesting is het rekencentrum ondergebracht in de cloud; dit kan zowel een private als public cloud zijn. Bij deze vorm van Huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie; men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals IAAS, PAAS of SAAS. Afhankelijk van de gemaakte inrichtingskeuze voor de Huisvesting Informatievoorziening, zijn normen voor Huisvesting in meer of mindere mate van toepassing. In dit document beschrijft optie 1:‘Fysieke Huisvesting’ en daarbij de generieke objecten m.b.t. Huisvesting Informatievoorziening, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit Huisvestingsbeleid (Beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het Uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (Controldomein). [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|left|500px|Overzicht Fysieke Huisvesting Informatievoorziening|alt=”Overzicht Fysieke Huisvesting Informatievoorziening”]] ==Aanpak uitwerking thema Huisvesting Informatievoorziening== Het Toelichtingdocument schetst de standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.  +
BIO Thema Huisvesting Informatievoorziening - Objecten voor Huisvesting Informatievoorziening +Huisvesting Informatievoorziening objecten uit de baseline ===Schematische weergave generieke Huisvesting Informatievoorziening objecten=== Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting Informatievoorziening worden in afbeelding 'Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten' weergegeven. De elementen worden toegelicht op basis van de driedeling: Beleid, Uitvoering en Control. [[Afbeelding:Thema Huisvesting - Schematische weergave van de fysieke Huisvesting-IV objecten.png|thumb|left|500px|Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten|alt=”Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten”]] ''Beleiddomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening randvoorwaarden; dit zijn objecten die als randvoorwaarden gelden voor de gehele Huisvesting Informatievoorziening, zoals beleid, wet en regelgeving, contracten en organisatiestructuur. In [[BIO Thema Huisvesting Informatievoorziening Beleidsdomein]] worden de relevante objecten behandeld. ''Uitvoeringsdomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening een scala aan componenten die grofweg zijn onder te verdelen in: terrein, gebouwen, faciliteiten en werkruimten en voorzieningen. ** Terrein betreft de locaties van de Huisvesting Informatievoorziening. * Gebouwen, faciliteiten en werkruimten zijn de aan Huisvesting Informatievoorziening georiënteerde objecten, die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Onder het fysieke bestaan vallen ook de terreinen en de zonering (in ruimten) van gebouwen. ** Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van Huisvesting Informatievoorziening. Dit is gericht op: bedrijfsmiddelen en nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. Met andere woorden: dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren Huisvesting Informatievoorziening diensten. In [[BIO Thema Huisvesting Informatievoorziening Uitvoering]] worden de relevante objecten behandeld. ''Controldomein'' * Binnen het Uitvoeringsdomein bevat de Huisvesting Informatievoorziening beoordelingsrichtlijnen en procedures; de beoordelingsrichtlijnen zijn vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en van de uitvoeringscomponenten. In [[BIO Thema Huisvesting Informatievoorziening Control]] worden de relevante objecten behandeld. ===Identificatie Huisvesting Informatievoorziening objecten=== nog nader in te bepalen ===De organisatie van Huisvesting Informatievoorziening objecten=== De geïdentificeerde Huisvesting Informatievoorziening objecten zijn op basis van de lagenstructuur: Beleid, Uitvoering en Controldomein georganiseerd; hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: * ''Beleid'': Binnen dit domein bevinden zich conditionele elementen over de Huisvesting Informatievoorziening. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en 'verboden’, zoals Huisvesting Informatievoorziening beleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. * ''Uitvoering'': Binnen dit domein bevinden zich: ** elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van Huisvesting Informatievoorziening; ** elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; ** elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. * ''Control'': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot Huisvesting Informatievoorziening en of deze wel naar wens verlopen. ==Huisvesting Informatievoorziening objecten geprojecteerd op BUC en gesorteerd naar IFGS== Tabel 'Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC' bevat de relevante items, welke in samenhang de bescherming van Huisvesting Informatievoorziening bewerkstelligen. Deze items worden in de BIO themadocumenten objecten genoemd. De meeste objecten zijn in de vorm van een beheersmaatregel al van kracht vanuit de ISO-27001. Objecten zijn generiek gemaakt, omdat ze in veel gevallen ook relevant zijn voor andere thema’s en daarom hergebruikt kunnen worden. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de BIO. Objecten die aanvullend aan de ISO norm voor de beveiliging nodig geacht worden van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald; deze relateren zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. NB: Deze zijn vanuit de beschikbare expertise van de schrijfgroep BIO nodig geacht, waarbij SIVA als modelleringstool wordt gebruikt. <table class="wikitable"> <tr> <th>Beleid domein</th> <th>Nr</th> <th>Generieke objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B 01</td> <td>Huisvesting Informatievoorziening beleid</td> <td>27002:5.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 02</td> <td>Wet en regelgeving</td> <td>27002:18.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 03</td> <td>Eigenaarschap</td> <td>27002:8.1.2</td> <td>I</td> <td></td> </tr> <tr> <td>B.04</td> <td>Certificering</td> <td>Uit SIVA analyse, ITIL</td> <td>I</td> <td></td> </tr> <tr> <td>B.05</td> <td>Contract management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B.06</td> <td>Servicelevel management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B 07</td> <td>Interne en externe bedreigingen</td> <td>27002:11.1.4</td> <td>F</td> <td></td> </tr> <tr> <td>B 08</td> <td>Training en awareness</td> <td>27002:7.2.2</td> <td>G</td> <td></td> </tr> <tr> <td>B.09</td> <td>Organisatiestructuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Uitvoering domein</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>U.01</td> <td>Richtlijnen gebieden en ruimten</td> <td>27002:11.1.5</td> <td>I</td> <td></td> </tr> <tr> <td>U.02</td> <td>Bedrijfsmiddelen inventaris</td> <td>27002:8.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>U.03</td> <td>Fysieke zonering</td> <td>27002:11.1.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.04</td> <td>Beveiligingsfaciliteiten ruimten</td> <td>27002:11.1.3</td> <td>F</td> <td></td> </tr> <tr> <td>U.05</td> <td>Nutsvoorzieningen</td> <td>27002:11.2.2</td> <td>F</td> <td></td> </tr> <tr> <td>U.06</td> <td>Apparatuur positionering</td> <td>27002:11.2.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.07</td> <td>Apparatuur onderhoud</td> <td>27002:11.2.4</td> <td>F</td> <td></td> </tr> <tr> <td>U.08</td> <td>Apparatuur verwijdering</td> <td>127002:1.2.7</td> <td>F</td> <td></td> </tr> <tr> <td>U.09</td> <td>Bedrijfsmiddelen verwijdering</td> <td>27002:11.2.5</td> <td>F</td> <td></td> </tr> <tr> <td>U.10</td> <td>Laad- en los locatie</td> <td>27002:11.1.6</td> <td>G</td> <td></td> </tr> <tr> <td>U.11</td> <td>Bekabeling</td> <td>27002:11.2.3</td> <td>G</td> <td></td> </tr> <tr> <td>U.12</td> <td>Huisvesting Informatievoorziening Architectuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Control domein(beheersing)</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>C.01</td> <td>Controlerichtlijnen Huisvesting-IV</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.02</td> <td>Onderhoudsplan</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.03</td> <td>Continuïteit beheer(BCMS)</td> <td>Uit SIVA analyse ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>C.04</td> <td>Huisvesting Informatievoorziening beheersorganisatie</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <caption align="bottom">Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC</caption></table> ==Omschrijvingen van generieke objecten== Tabel 'Omschrijvingen van generieke objecten uit ISO/BIR met aanvullende generieke objecten' bevat een nadere omschrijving voor de vastgestelde generieke objecten uit ISO/BIO en aanvullende generieke objecten. <table class="wikitable"><caption align="bottom">Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten</caption><tr style="background-color:#d9d9d9"><td> Nr. </td> <td> ISO </td> <td> Generiek object </td> <td> Omschrijving generiek object gericht op Huisvesting-IV </td></tr><tr><td> 1. </td> <td> 5.1.1. </td> <td> Huisvestingsbeleid </td> <td> Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten. </td></tr><tr><td> 2. </td> <td> 7.2.2. </td> <td> Training en Awareness </td> <td> Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid. </td></tr><tr><td> 3. </td> <td> 7.1.2. </td> <td> Eigenaarschap </td> <td> Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker. </td></tr><tr><td> 4. </td> <td> 18.1.1. </td> <td> Wet- en Regelgeving </td> <td> Door de overheid afgevaardigde Wet- en regelgeving. </td></tr><tr><td> 5. </td> <td> X </td> <td> Huisvestingsorganisatie </td> <td> Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources. </td></tr><tr><td> 6. </td> <td> X </td> <td> Huisvestingsarchitectuur </td> <td> De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV). </td></tr><tr><td> 7. </td> <td> X </td> <td> Contractmanagement </td> <td> Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd. </td></tr><tr><td> 8. </td> <td> X </td> <td> Servicelevelmanagement </td> <td> Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt. </td></tr><tr><td> 9. </td> <td> X </td> <td> Certificering </td> <td> Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie. </td></tr><tr><td> 10. </td> <td> 8.1.1. </td> <td> Bedrijfsmiddelen inventaris </td> <td> Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn. </td></tr><tr><td> 11. </td> <td> 11.1.1. </td> <td> Fysieke zonering </td> <td> Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten. </td></tr><tr><td> 12. </td> <td> 11.1.3. </td> <td> Beveiligingsfaciliteiten </td> <td> Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden. </td></tr><tr><td> 13. </td> <td> 11.1.4. </td> <td> Interne en Externe bedreigingen </td> <td> Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten. </td></tr><tr><td> 14. </td> <td> 11.1.5. </td> <td> Richtlijnen gebieden en ruimten </td> <td> Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien. </td></tr><tr><td> 15. </td> <td> 11.1.6. </td> <td> Laad- en los locatie </td> <td> Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen. </td></tr><tr><td> 16. </td> <td> 11.2.1. </td> <td> Apparatuur positionering </td> <td> Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie. </td></tr><tr><td> 17. </td> <td> 11.2.2. </td> <td> Nutsvoorzieningen </td> <td> Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden. </td></tr><tr><td> 18. </td> <td> 11.2.3. </td> <td> Bekabeling </td> <td> Middel voor energietransport van een bron naar een bestemming. </td></tr><tr><td> 19. </td> <td> 11.2.4. </td> <td> Apparatuur onderhoud </td> <td> Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden. </td></tr><tr><td> 20. </td> <td> 11.2.7. </td> <td> Apparatuur verwijdering </td> <td> Het verwijderen van apparatuur volgens een geregistreerde procedure. </td></tr><tr><td> 21. </td> <td> 11.2.5. </td> <td> Bedrijfsmiddel verwijdering </td> <td> Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens). </td></tr><tr><td> 22. </td> <td> X </td> <td> Controlerichtlijn Huisvesting-IV </td> <td> Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde. </td></tr><tr><td> 23. </td> <td> X </td> <td> Onderhoudsplan </td> <td> Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden. </td></tr><tr><td> 24. </td> <td> X </td> <td> Huisvestings- beheersorganisatie </td> <td> De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd. </td></tr><tr><td> 25. </td> <td> X </td> <td> Continuïteitsmanagement </td> <td> Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen. </td></tr><tr><td> </td> <td style="background-color:#f2f2f2" colspan="2">X = Aanvullend vanuit analyse </td> </tr></table> ===Objecten binnen BUC domeinen en gerelateerd aan basiselementen=== ''Beleiddomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Beleiddomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Beleid domein, gerelateerd aan basiselementen|alt=”Objecten binnen Beleiddomein, gerelateerd aan basiselementen”]] ''Uitvoeringsdomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Uitvoering domein, gerelateerd aan basiselementen|alt=”Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen”]] ''Controldomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Controldomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Control domein, gerelateerd aan basiselementen|alt=”Objecten binnen Controldomein, gerelateerd aan basiselementen”]]  +
BIO Thema Huisvesting Informatievoorziening - Verbindingsdocument +==Context beveiliging Huisvesting-IV== [[Afbeelding:Thema Huisvesting - Verbindingsniveau voor huisvesting.png|thumb|none|250px|Verbindingsniveau voor Huisvesting Informatievoorziening|alt=”Verbindingsniveau voor Huisvesting Informatievoorziening”]] Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging. Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas. Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening. Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV). [[Afbeelding:Thema Huisvesting - Context Huisvesting-IV.png|thumb|none|600px|Context Huisvesting Informatievoorziening|alt=”Context Huisvesting Informatievoorziening”]] Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM). [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|none|700px|Essentiële objecten in het uitvoering domein|alt=”Essentiële objecten in het uitvoering domein”]] Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur. [[Afbeelding:Thema Huisvesting - Objecten in het uitvoeringsdomein.png|none|thumb|500px|Objecten in het uitvoering domein|alt=”Objecten in het uitvoering domein”]] Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie. *'''Terrein''' – de omheinde, beschermde locaties van de Huisvesting IV *'''Gebouwen''' – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten. *'''Voorzieningen''' – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). *'''Faciliteiten''' - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc. Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten. ==Generieke objecten== Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen. <table class="wikitable"><tr style="background-color:#d9d9d9"><th> Nr </th> <th> Bron: ISO/BIO of alternatief </th> <th> Generieke objecten </th></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffcc00">Huisvestingsbeleid </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffcc00">Training en Awareness </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffcc00">Eigenaarschap </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffcc00">Wet en regelgeving </td></tr><tr><td>5. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Organisatie </td></tr><tr><td>6. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Architectuur </td></tr><tr><td>7. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Contractmanagement </td></tr><tr><td>8. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Servicelevelmanagement </td></tr><tr><td>9. </td> <td>idem -> NIST </td> <td style="background-color:#ffcc00">Certificering </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen inventaris </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">Fysieke zonering </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">Fysieke toegangsbeveiliging </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">Beveiligingsfaciliteit </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">Interne en Externe bedreigingen </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">Richtlijnen gebieden en ruimten </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">Laad- en loslocatie </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">Apparatuur positionering </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">Nutsvoorzieningen </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">Bekabeling </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">Apparatuur onderhoud </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen verwijdering </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">Apparatuur verwijdering </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">Registratieprocedure </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">Beoordeling Fysieke toegangsrechten </td></tr><tr><td>25. </td> <td>Uit SIVA analyse </td> <td style="background-color:#99ccff">Controle richtlijn Huisvesting-IV </td></tr><tr><td>26. </td> <td>idem </td> <td style="background-color:#99ccff">Onderhoudsplan </td></tr><tr><td>27. </td> <td>idem </td> <td style="background-color:#99ccff">Huisvestingsbeheerorganisatie </td></tr><tr><td>28. </td> <td>idem -> ITIL </td> <td style="background-color:#99ccff">Continuïteitsmanagement </td></tr> <caption align="bottom">Tabel 6: Vastgestelde generieke objecten</caption></table> <table style="border: 1px solid #888"><caption>Legenda</caption> <tr> <td style="background-color:#ffd966; width:3em;"> </td> <td>[[Beveiligingsaspect Beleid|Beleid]] </td></tr><tr> <td style="background-color:#ff9999"> </td> <td>[[Beveiligingsaspect Uitvoering|Uitvoering]] </td></tr><tr> <td style="background-color:#99ccff"> </td> <td>[[Beveiligingsaspect Control|Control]] </td></tr></table> Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001. De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. ==Positionering van objecten gerelateerd aan SIVA basiselementen== [[Afbeelding:Thema Huisvesting - Objecten in hun B-U-C domein.png|thumb|none|500px|Objecten in hun B-U-C domein|alt=”Objecten in hun B-U-C domein”]] Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data. ==Cross Reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. <table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen</caption> <tr><td>Nr. </td> <td>Bron:ISO… </td> <td>  </td> <td>Onderwerp </td> <td>Referentie naar praktijktoepassing(Verwijzing naar brondocumenten) </td></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Huisvestingsbeleid </td> <td>a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e) </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffd966">B </td> <td>Training en Awareness </td> <td>a):H4, h), j), i </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Eigenaarschap </td> <td>a):H2 (voor rijk), j), i) </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Wet en regelgeving </td> <td>i) </td></tr><tr><td>5. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Organisatie </td> <td>a):H4 </td></tr><tr><td>6. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Architectuur </td> <td>i), Richtlijnen - Rijks vastgoedbedrijf (RVB) </td></tr><tr><td>7. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Contractmanagement </td> <td>a):H8, f) </td></tr><tr><td>8. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Servicelevelmanagement </td> <td>f) </td></tr><tr><td>9. </td> <td>NIST </td> <td style="background-color:#ffd966">B </td> <td>Certificering </td> <td>g) </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen inventaris </td> <td>i) </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">U/GB </td> <td>Fysieke zonering </td> <td>a): H6, c), e), i) </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Fysieke toegangsbeveiliging </td> <td>a): H6, b), c), i) </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Beveiligingsfaciliteit </td> <td>NKBR 5.4 voor sleutelplan </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">U </td> <td>Interne en Externe bedreigingen </td> <td>i), k) </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">U/GB </td> <td>Richtlijnen gebieden en ruimten </td> <td>a):geheel document, j), i), o) </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">U/GB </td> <td>Laad- en loslocatie </td> <td>a):H6 </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur positionering </td> <td>a):H7 voor beveiligingsvoorzieningen, i), o) </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Nutsvoorzieningen </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bekabeling </td> <td>i), o), Richtlijnen - RVB </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur onderhoud </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen verwijdering </td> <td>i) </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur verwijdering </td> <td>i) </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">C </td> <td>Registratieprocedure </td> <td>i) </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">C </td> <td>Beo. Fysieke toegangsrechten </td> <td>i) </td></tr><tr><td>25. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Controle richtlijn Huisvesting-IV </td> <td>? Richtlijnen - RVB </td></tr><tr><td>26. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Onderhoudsplan </td> <td>? Richtlijnen - RVB </td></tr><tr><td>27. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Huisvestingsbeheerorganisatie </td> <td>a):H4 </td></tr><tr><td>28. </td> <td>ITIL </td> <td style="background-color:#99ccff">C </td> <td>Continuïteitsmanagement </td> <td>i), l, m), o), ITIL documentatie </td></tr></table> Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. ==Brondocumenten== Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. <table class="wikitable"><caption align="bottom">Bronverwijzing</caption><tr ><td> Nr. </td> <td> Documentnaam </td> <td> Versie + datum </td> <td> Eigenaar </td> <td> Toelichting </td></tr><tr ><td> a) </td> <td> Normenkader Beveiliging Rijkskantoren (NKBR) </td> <td> 2.02-10-2015 </td> <td> ICBRBzK </td> <td> Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V) </td></tr><tr ><td> b) </td> <td> Kader Rijkstoegangs-beleid </td> <td> 1.0 van 11/5/10 </td> <td> ICBR </td> <td> Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’ </td></tr><tr ><td> c) </td> <td> Zoneringsmodel rijkskantoren </td> <td> 5-jul-11 </td> <td> BzK </td> <td> Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB) </td></tr><tr ><td> d) </td> <td> Richtlijnen Rijks Vastgoedbedrijf (RVB) </td> <td> volgt </td> <td> RVB </td> <td> Nader te bepalen set van eisen in samenspraak met RVB </td></tr><tr ><td> e) </td> <td> NIST PE Physical and Environ-mental Protection (PE) </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering </td></tr><tr ><td> f) </td> <td> NIST MA System Mainenance Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor beheersingsprocedures </td></tr><tr ><td> g) </td> <td> NIST CA Security Assessment and Authorization Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor Certificering van organisaties </td></tr><tr ><td> h) </td> <td> NIST AT Awaress and Training Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers </td></tr><tr ><td> i) </td> <td> NIST CM Configuration Management Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures </td></tr><tr ><td> j) </td> <td> Standard of Good Practice (SoGP) </td> <td> Periodiek </td> <td> ISF </td> <td> Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen </td></tr><tr ><td> k) </td> <td> KWAS </td> <td> Periodiek </td> <td> NCSC </td> <td> Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit </td></tr><tr ><td> l) </td> <td> NEN-ISO-22323 </td> <td> 2012 </td> <td> BzK </td> <td> Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief </td></tr><tr ><td> m) </td> <td> NORA patronen voor bedrijfs-continuïteit / BCM </td> <td> 2014 </td> <td> BzK </td> <td>https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt </td></tr><tr ><td> n) </td> <td> BIR 1.0 </td> <td> 2011 </td> <td> BzK </td> <td> BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013 </td></tr><tr ><td> o) </td> <td> Telecommunication Infrastructure Standard for Data Centers (TIA-942) </td> <td> Periodiek </td> <td> ieee802.org /ANSI </td> <td> Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet </td></tr></table> Op NEN-ISO documenten rusten licentierechten.  +
BIO Thema Serverplatform - Beveiligingsobjecten van het serverplatform +==Beveiligingsobjecten serverplatform== Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn: * welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten. ===Vaststellen van beveiligingsobjecten voor serverplatform=== Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen. <table class="wikitable"> <tr> <th > Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > B.01 </td> <td > Beleid voor beveiligde inrichting en onderhoud </td> <td > BIO/14.2.1 </td> <td > I </td> </tr> <tr> <td > B.02 </td> <td > Principes voor inrichten van beveiligde servers </td> <td > BIO/14.2.5 </td> <td > I </td> </tr> <tr> <td > B.03 </td> <td > Serverplatform architectuur </td> <td > SoGP/SD2.2 (afgeleid uit) </td> <td > S </td> </tr> <tr> <td > U.01 </td> <td > Bedieningsprocedure </td> <td > BIO/12.1.1 </td> <td > I </td> </tr> <tr> <td > U.02 </td> <td > Standaarden voor configuratie van servers </td> <td > SoGP/SY1.2 </td> <td > I </td> </tr> <tr> <td > U.03 </td> <td > Malwareprotectie </td> <td > BIO/12.2.1 </td> <td > F </td> </tr> <tr> <td > U.04 </td> <td > Beheer van serverkwetsbaarheden </td> <td > BIO/12.6.1 </td> <td > F </td> </tr> <tr> <td > U.05 </td> <td > Patch-management </td> <td > BIO/12.6.1, NCSC/WA </td> <td > F </td> </tr> <tr> <td > U.06 </td> <td > Beheer op afstand </td> <td > BIO/6.2.2 (Afgeleid) </td> <td > F </td> </tr> <tr> <td > U.07 </td> <td > Onderhoud van serverapparatuur </td> <td > BIO/11.2.4 </td> <td > F </td> </tr> <tr> <td > U.08 </td> <td > Veilig verwijderen of hergebruiken van serverapparatuur </td> <td > BIO/11.2.7 </td> <td > F </td> </tr> <tr> <td > U.09 </td> <td > Hardenen van servers </td> <td > SoGP/SYS1.25 en SYS12.8 </td> <td > G </td> </tr> <tr> <td > U.10 </td> <td > Serverconfiguratie </td> <td > SoGP/SY1.2 </td> <td > G </td> </tr> <tr> <td > U.11 </td> <td > Virtueel serverplatform </td> <td > SoGP/SY1.3 </td> <td > G </td> </tr> <tr> <td > U.12 </td> <td > Beperking van software- installatie </td> <td > BIO/12.6.2 </td> <td > G </td> </tr> <tr> <td > U.13 </td> <td > Kloksynchronisatie </td> <td > BIO/12.4.4 </td> <td > G </td> </tr> <tr> <td > U.14 </td> <td > Ontwerpdocumentatie </td> <td > SoGP/12.4.4 </td> <td > S </td> </tr> <tr> <td > C.01 </td> <td > Evaluatie van richtlijnen voor servers en serverplatforms </td> <td > BIO/10.10 2 (versie 2007) </td> <td > I </td> </tr> <tr> <td > C.02 </td> <td > Beoordeling technische serveromgeving </td> <td > BIO/18.2.3 </td> <td > F </td> </tr> <tr> <td > C.03 </td> <td > Logbestanden beheerders </td> <td > BIO/12.4.3 </td> <td > G </td> </tr> <tr> <td > C.04 </td> <td > Registratie van gebeurtenissen </td> <td > BIO/12.4.1 </td> <td > G </td> </tr> <tr> <td > C.05 </td> <td > Monitoren van servers en serverplatforms </td> <td > NIST/AU-6 </td> <td > G </td> </tr> <tr> <td > C.06 </td> <td > Beheerorganisatie servers en serverplatforms </td> <td > CIP Domeingroep BIO </td> <td > S </td> </tr> <caption align="bottom">Serverplatform, Overzicht van de relevante beveiligingsobjecten voor het serverplatform</caption></table> ===Globale relaties tussen de geïdentificeerde beveiligingsobjecten=== Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders. [[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|350px|Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]] ''Beleiddomein'' Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen. ''Uitvoeringsdomein'' De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform: * initiële installatie de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie), * beveiligings- en beheerfuncties de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden, * feature configuratie Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen. * structuur en ontwerp De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd. ''Controldomein '' Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.  +
BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjecten +. <table class="wikitable"> <tr> <th class="tg-s268">Nr.</th> <th >Relevante beveiligingsobjecten</th> <th >Omschrijving</th> </tr> <tr> <td >B.01</td> <td >Beleid voor(beveiligd) onderhouden van serverplatforms</td> <td >Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.</td> </tr> <tr> <td >B.02</td> <td >Principes serverplatform beveiliging</td> <td >Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".</td> </tr> <tr> <td >B.03</td> <td >Serverplatform Architectuur</td> <td >Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.</td> </tr> <tr> <td >U.01</td> <td >Bedieningsprocedure</td> <td >Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.</td> </tr> <tr> <td >U.02</td> <td >Standaarden voor configuratie servers</td> <td >Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.</td> </tr> <tr> <td >U.03</td> <td >Malwareprotectie</td> <td >Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.</td> </tr> <tr> <td >U.04</td> <td >Beheer van server kwetsbaarheden</td> <td >Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.</td> </tr> <tr> <td >U.05</td> <td >Patch-management</td> <td >Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.</td> </tr> <tr> <td >U.06</td> <td >Beheer op afstand</td> <td >Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.</td> </tr> <tr> <td >U.07</td> <td >Onderhoud apparatuur</td> <td >Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.</td> </tr> <tr> <td >U.08</td> <td >Veilig verwijderen of hergebruiken van apparatuur</td> <td >Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.</td> </tr> <tr> <td >U.09</td> <td >Hardenen van servers</td> <td >Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.</td> </tr> <tr> <td >U.10</td> <td >Serverconfiguratie</td> <td >Het conform de vereisten instellen van de verschillende features van serverplatforms.</td> </tr> <tr> <td >U.11</td> <td >Virtueel serverplatform</td> <td >Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.</td> </tr> <tr> <td >U.12</td> <td >Beperking software installatie</td> <td >Het stellen van regels voor het installeren op servers of serverplatforms.</td> </tr> <tr> <td >U.13</td> <td >Kloksynchronisatie</td> <td >Het gelijkrichten van klokken op verschillende servers.</td> </tr> <tr> <td >U.14</td> <td >Ontwerpdocumentatie</td> <td >Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.</td> </tr> <tr> <td >C.01</td> <td >Evaluatierichtlijnen serverplatforms</td> <td >Richtlijnen die evaluatie activiteiten van servers ondersteunen.</td> </tr> <tr> <td >C.02</td> <td >Beoordeling technische serveromgeving</td> <td >Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.</td> </tr> <tr> <td >C.03</td> <td >Logbestandenbeheerders</td> <td >Het vastleggen van activiteiten van beheerders.</td> </tr> <tr> <td >C.04</td> <td >Registratiegebeurtenissen</td> <td >Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.</td> </tr> <tr> <td >C.05</td> <td >Monitorenservers en besturingssystemen</td> <td >Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.</td> </tr> <tr> <td >C.06</td> <td >Beheerorganisatieservers en besturingssystemen</td> <td >De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.</td> </tr> <caption align="bottom">Serverplatform, Definiëring/omschrijving van beveiligingsobjecten</caption></table>  +
BIO Thema Serverplatform - Inleiding +==Inleiding== Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur. ===Opzet van het thema=== Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # scope en begrenzing (§1.2); # context en globale structuur van het thema (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ===Scope en begrenzing=== In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver. De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0pky">  ISO/BIO object  </th> <th class="tg-0lax">  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td class="tg-0lax">  Beleid voor beveiligd ontwikkelen  (14.2.1)  </td> <td class="tg-0lax">  Beleid voor (beveiligd) onderhouden  van serverplatforms  </td> </tr> <tr> <td class="tg-0lax">  Principes voor engineering van  beveiligde systemen  </td> <td class="tg-0lax">  Principes serverplatform beveiliging.  </td> </tr> <caption align="bottom">Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten</caption></table> ===Context van serverplatform=== Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten. [[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|350px|Context thema Serverplatform|alt=”Context thema Serverplatform”]] Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruiker in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.  +
BIO Thema Serverplatform - Verbindingsdocument +Tekst wordt later toegevoegd  +
BIO Thema Toegangbeveiliging - Structuur van het thema Toegangbeveiliging +Dit document representeert een referentiekader voor het thema Logische toegangsbeveiliging en is geënt op controls uit best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Rijk). De uitwerking is gebaseerd op de BIO en ISO 270xx (2013). We hanteren in het vervolg een meer algemene term ‘Toegangsbeveiliging’. ==Opzet van het thema== Het Thema Toegangsbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van de (BUC) lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema (§1.2); # scope en begrenzing (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ==Context van Toegangsbeveiliging== Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imagoschade en klantenverlies. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging, zoals in afbeelding 'Globale opzet logische en fysieke beveiliging' wordt weergegeven. Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten , die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen, die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten en terreinen. [[Afbeelding:Thema Toegangsbeveiliging - Globale opzet logische en fysieke beveiliging.png|thumb|750px|none|alt=”Globale opzet logische en fysieke beveiliging”]] ==Scope en begrenzing van Toegangsbeveiliging== De uitwerking van logische toegangsbeveiliging is in dit thema gericht op identificatie authenticatie en autorisatie van (vaste) medewerkers voor systemen die op een bepaalde locatie staan. De uitwerking van fysieke beveiliging is dit thema gericht op de fysieke toegang tot terreinen, gebouwen en rekencentra. Specifieke, apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, -netwerken, -mobiele computers, en telewerken zullen in andere thema’s worden behandeld.  +
BIO Thema Toegangbeveiliging Beleid +==Objecten binnen toegangbeveiliging== Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Toegangsbeveiliging beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Toegangsbeveiliging. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein.png|thumb|700px|none|alt=Onderwerpen die binnen het Beleiddomein een rol spelen|Onderwerpen die binnen het Beleiddomein een rol spelen]]  +
BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten +<table class="wikitable"><caption align="bottom">Tabel 3: Aandachtspunten ten aanzien van objecten</caption> <tr><th> Objecten </th> <th> Baseline </th> <th> Opmerking/Thema </th></tr><tr><td>Gedeelde Autorisatie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Sessie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Labelen </td> <td>NIST, ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Speciale systeemhulpmiddelen </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Toegangsbeveiliging op (programma-) broncode </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Draadloze Toegangsverbinding </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Remote Access </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Externe connectie </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Toegang Mobiele Apparatuur </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr style="background-color:#bfbfbf"><td> Overige </td> <td> </td> <td> </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3. </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Inlogprocedures </td> <td colspan="2"> U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren? </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3 </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Wachtwoordenbeheer U.05 </td> <td colspan="2"> Missen daar niet de rest van de ISO 9.4.3.-indicatoren? </td></tr><tr><td>Verwijzingen naar practices opnemen </td> <td colspan="2"> </td></tr></table>  +
BIO Thema Toegangsbeveiliging - Doelstelling en risico per object +==Beleid== [[:ISOR:Toegangsbeveiliging Doelstelling en risico per object in het Beleiddomein]] ==Uitvoering== [[:ISOR:Toegangsbeveiliging Doelstelling en risico per object in het Uitvoeringsdomein]] ==Control== [[:ISOR:Toegangsbeveiliging Doelstelling en risico per object in het Controldomein]]  +
BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging +Voor de inrichting en evaluatie van voorzieningen voor toegangsbeveiliging, dient de fasering van figuur 6 te worden gebruikt. Dit geldt zowel interne als externe medewerkers. * Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten regelen. * Tijdens dienstverband (Doorstroom): in deze fase worden werknemers - afhankelijk van hun functie - via trainingen en opleidingen bewust gemaakt van het omgaan van bedrijfsmiddelen (o.a. bedrijfsgegevens) en hoe zij om moeten gaan met aspecten aangaande informatiebeveiliging. * Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren. [[Afbeelding:Thema Toegangbeveiliging - De relaties tussen de drie fases.png|thumb|750px|none|alt=”De relaties tussen de drie fases”]] ==Indiensttreding nieuwe medewerkers== Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas (zoals een Rijkspas) waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast toegang tot fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en de algemene kantoorautomatiseringsomgeving, de KA- of Front-Office omgeving, en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris; hierbij zijn verschillende afdelingen betrokken zoals: * de Personeelsafdeling; de personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand; * de Facilitaire Dienst of Facilitair Bedrijf; het Facilitair Bedrijf zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een toegangspas aan (Rijkspas = identificatiemiddel); * de Gegevens/proceseigenaar; de gegevens/proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties); * de ICT-afdeling; de ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel (zoals Rijkspas). [[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker.png|thumb|750px|none|alt=”Processtappen en acties bij de indiensttreding (instroom) van een medewerker”]] Deze stappen staan niet los van elkaar; zij dienen namelijk één gemeenschappelijk doel: Het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie voor nodig teneinde de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding (instroom) van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker. Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een toegangspas, en een logisch toegangsbewijs in de vorm van een account voor toegang tot IV-faciliteiten. Na het met behulp van de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties. [[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|750px|none|alt=”Het autorisatieproces”]] Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Figuur 8 geeft hiervan een overzicht. ==Tijdens het dienstverband== Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op basis van de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd, de toegangsrechten worden aangepast, geblokkeerd of verwijderd. ==Uitdiensttreding== Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.  +
BIO Thema Toegangsbeveiliging - Inleiding +Dit document representeert een referentiekader voor het thema Logische toegangsbeveiliging en is geënt op controls uit best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Rijk). De uitwerking is gebaseerd op de BIO en ISO 270xx (2013). We hanteren in het vervolg een meer algemene term ‘Toegangsbeveiliging’. ==Opzet van het thema== Het Thema Toegangsbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van de (BUC) lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema (§1.2); # scope en begrenzing (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ==Context van Toegangsbeveiliging== Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imagoschade en klantenverlies. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging, zoals in afbeelding 'Globale opzet logische en fysieke beveiliging' wordt weergegeven. Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten , die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen, die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten en terreinen. [[Afbeelding:Thema Toegangbeveiliging - Globale opzet logische en fysieke beveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke beveiliging”|Globale opzet logische en fysieke beveiliging]] ==Scope en begrenzing van Toegangsbeveiliging== De uitwerking van logische toegangsbeveiliging is in dit thema gericht op identificatie authenticatie en autorisatie van (vaste) medewerkers voor systemen die op een bepaalde locatie staan. De uitwerking van fysieke beveiliging is dit thema gericht op de fysieke toegang tot terreinen, gebouwen en rekencentra. Specifieke, apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, -netwerken, -mobiele computers, en telewerken zullen in andere thema’s worden behandeld.  +
BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen + # Beleid domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Beleid domein”]] # Uitvoering domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Control domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control domein”]] # Control domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Uitvoering domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Uitvoering domein”]]   +
BIO Thema Toegangsbeveiliging - Verbindingsdocument +==A1 Context van Toegangsbeveiliging== [[Afbeelding:Thema Toegangbeveiliging - Verbindingsniveau voor toegangsbeveiliging.png|thumb|none|500px|none|alt=”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”|Figuur 1 Verbindingsniveau voor toegangsbeveiliging]] Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevens van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen. [[Afbeelding:Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem.png|thumb|none|500px|none|alt=”Thema Toegangsbeveiliging - Processtappen van het toegangbeveiligingssysteem”|Figuur 2 Processtappen van het toegangbeveiligingssysteem]] Na deze processtappen bezit de medewerker (gebruiker) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevens wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruiker daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatie en authenticatie) krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld. [[Afbeelding:Thema Toegangbeveiliging - Indeling van de essentiële elementen in de drie domeinen.png|thumb|none|500px|none|alt=”Indeling van essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”|Figuur 3 Indeling van de essentiële elementen in de drie domeinen]] Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen. [[Afbeelding:Thema Toegangbeveiliging - Weergave van de essentiële elementen voor toegangsbeveiliging.png|thumb|none|500px|none|alt=”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”| Figuur 4 Weergave van de essentiële elementen voor toegangsbeveiliging]] ==A2 Generieke toegangbeveiligingsobjecten== Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van de geïdentificeerde objecten uit BIO en ISO.png|thumb|none|500px|none|alt=”Overzicht van de geïdentificeerde objecten uit BIO/ISO”|Figuur 5 Overzicht van de geïdentificeerde objecten uit BIO en ISO]] Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL. ==A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen== Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van de generieke objecten in relatie tot SIVA basiselementen.png|thumb|none|500px|none|alt=”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”|Figuur 6 Overzicht van de generieke objecten in relatie tot SIVA basiselementen]] De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving. ==A4 Cross reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. [[Afbeelding:Thema Toegangbeveiliging - Cross-reference naar praktijktoepassingen.png|thumb|left|500px|none|alt=”Toegangbeveiliging, cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem”|Figuur 7 Cross-reference naar praktijktoepassingen]]  +
BIR (Baseline Informatiebeveiliging Rijksdienst) +De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm ISO/IEC 27002. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende veiligingseisen maken risicomanagement eenvoudiger.  +
BLAU (Basisregistratie Lonen Arbeidsverhoudingen en Uitkeringen) +BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt.  +
BRI (Basisregistratie Inkomen) +De Basisregistratie Inkomen (BRI) bevat van circa dertien miljoen burgers het authentieke inkomensgegeven. Dit is -uitsluitend - het verzamelinkomen, of als dat er niet is, het belastbare jaarloon over het afgelopen kalenderjaar. En gegevens zoals het burgerservicenummer (BSN). [https://www.stelselvanbasisregistraties.nl/registraties/ Stelsel van basisregistraties]  +
BRI/Batch-gewijs via bestanden +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Batch-gewijs via bestanden (vraaggedreven) +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Inzage BRI +Inzage geregistreerd inkomen (BRI) voor burgers op MijnOverheid vanaf 1 juni 2015. Plan is om in de loop van 2016 ook op MijnBelastingdienst te realiseren.  +
BRK (Basisregistratie Kadaster) +De Basisregistratie Kadaster (BRK) bevat informatie over percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken. Daarnaast staan er kadastrale kaarten in met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten.  +
BRK/BAG koppeltabel +Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster]  +
BRK/Digitale- kadastrale kaart service +Bestandslevering van de Geautomatiseerde Kadastrale Registratie. Voor bestaande afnemers mutaties af te nemen via downloadservice. Product wordt uitgefaseerd per 1 januari 2017 en is beschikbaar als webservice en download via PDOK.  +
BRK/Gegevensverstrekking via abonnement +Op basis van afspraken wordt een bestand geleverd.  +
BRK/Gegevensverstrekking via selecties +Klanten ontvangen op basis van een abonnement een afgesproken selectie van gegevens.  +
BRK/KIK inzage +Webservice voor het online inzien van de BRK, te weten kadastraal bericht persoon, kadastraal bericht object, hypothecair bericht object, uittreksel kadastrale kaart, negatieve mededeling. [http://www.kadaster.nl/web/artikel/Alle-producten-1/KIKinzage-1.htm KIK-inzage op website Kadaster]  +
BRK/Kadaster online-Kada internet +Middels [https://mijn.kadaster.nl/security/login.jsp Kadaster-on-line] kunnen handmatig uittreksels worden opgevraagd van de kadastrale kaart, daarnaast kunnen kadastrale berichten, hypothecaire berichten en objectenlijsten worden opgevraagd. Middels [https://mijn.kadaster.nl/security/login.jsp Kada internet] kunt u vastgoedinformatie online aanvragen en inzien. [http://www.kadaster.nl/web/artikel/productartikel/Mijn-Kadaster-20.htm "Mijn Kadaster" op website Kadaster]  +
BRK/MO AKR-DKK via Kadainternet + * [http://www.kadaster.nl/web/Themas/Themapaginas/Alle-dossierartikelen/Massale-output-onroerend-goed-1.htm Massale output onroerendgoed op website Kadaster] * [http://www.kadaster.nl/web/artikel/productartikel/Digitale-kadastrale-kaart.htm Digitale Kadastrale kaart op website Kadaster]   +
BRK/PDOK Digitale kadastrale kaart +Webservice voor het opvragen van de kadastrale kaart binnen een zelf te specificeren uitsnede. Wordt geleverd door PDOK volgens WMS en WMTS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/k Digitale Kadastrale Kaart op website PDOK]  +
BRK/PDOK bestuurlijke grenzen +Webservice voor het opvragen van rijks-, provincie- en gemeentegrenzen. Wordt geleverd volgens WMS en WFS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/b Bestuurlijke grenzen op website PDOK]  +
BRK/Webapplicatie individuele bevraging +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/Webapplicatie individuele bevraging (machine-machine) +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/levering mutaties abonnement +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. * [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen.  +
BRK/levering stand +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, periodieke standlevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. Verwerkingstermijn: maximaal 15 werkdagen. * [http://www.kadaster.nl/web/Themas/Registraties/BRK.htm BRK Levering op website Kadaster]  +