Eigenschap:Beschrijving
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Deze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Subeigenschap van
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
B
Hierna volgt een korte verantwoording over de aanpak, de keuzes die gemaakt zijn en de inhoudelijke objecten die gebruikt zijn in deze BIO Thema-uitwerking. Om te komen tot een thema-uitwerking die breed draagvlak heeft en toegevoegde waarde biedt aan overheidsorganisaties zijn de objecten getraceerd langs:
# Cloud Service Consumer (CSC)-eisen
# Bedreigingen/kwetsbaarheden
# Baselines
Overheidsorganisaties die inmiddels over specifieke normenkaders voor clouddiensten beschikken, zijn gevraagd om hun kaders, via deze thema-uitwerking voor een groter publiek open te stellen voor hergebruik.
==CSC-eisen==
Om de specifiek CSC-georiënteerde aandachtspunten te traceren, zijn vragen gesteld aan overheidsorganisaties om te komen tot een set van eisen en wensen. Met de eisen en wensen zijn objecten geïdentificeerd. Hierbij zijn aan doelorganisaties en cloud-groepssessies enkele vragen gesteld, zoals:
* Hoe kan deze thema-uitwerking de organisatie helpen bij het verwerven van clouddiensten?
* Wat moet minimaal uitgewerkt worden in de BIO Thema-uitwerking clouddiensten?
* Welke eisen worden door overheidsorganisaties gesteld bij het verwerven van clouddiensten?
* Zijn vanuit deze thema-uitwerking verbindingen noodzakelijk met functionele eisen voor clouddiensten en normatiek?
==Bedreigingen/kwetsbaarheden==
Om specifieke objecten te identificeren, is ook gericht op de algemene dreigingen en kwetsbaarheden die voortvloeien uit het toepassen van clouddiensten.
==Baselines==
Hiernaast zijn bestaande baselines geraadpleegd, voor zover ze specifiek zijn voor clouddiensten. De specifieke objecten, ook vanuit de eisen en wensen van de CSC-zijde en de dreigingen, uit de baselines zijn geselecteerd voor en toegespitst op de cloud-omgeving. Verder is er een koppeling gelegd met de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] en met de [[NEN-ISO/IEC 27017:2015 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)|ISO 27017]], die specifiek gericht is op clouddiensten. Afbeelding 'Traject totstandkoming BIO Thema-uitwerking Clouddiensten' geeft een overzicht van de beschreven stappen.
[[Afbeelding:BIO Thema Clouddiensten - Het traject van de totstandkoming van het thema cloud document.png|thumb|none|500px|Traject totstandkoming van de BIO Thema-uitwerking Clouddiensten|alt=”Het traject van de totstandkoming van het thema cloud document”]]
Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Clouddiensten, door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]] opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen bij het verwerven van veilige clouddiensten. Deze thema-uitwerking is bedoeld als handreiking, gerelateerd aan de toepassing van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] en verschaft een overzicht van de uitwerking van clouddienstenobjecten vanuit de optiek van de Cloud Service Consumer (CSC). Voor de beperking van de omvang van deze thema-uitwerking worden de geïdentificeerde objecten gerelateerd aan algemene clouddiensten. Deze thema-uitwerkingt doet geen uitspraken over de vraag of cloud ingezet mag worden. Die keuze is onderworpen aan het vigerend beleid. Bij een keuze voor cloud, kan deze thema-uitwerkingen worden gehanteerd bij de inrichting.
De BIO is verplicht verklaard voor de overheidspartijen. Vanwege de snelle ontwikkelingen van clouddiensten hebben overheidspartijen een grote behoefte aan overzicht en inzicht in de meest cruciale componenten die bij de verwerving van clouddiensten aandacht behoeven. Temeer omdat specifieke op clouddiensten gerichte beveiligingsobjecten ontbreken in de BIO. Dat komt omdat de BIO gebaseerd is op een generieke baseline [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002:2017]] (hierna genoemd ISO 27002). Aanvullend op deze ISO-norm zijn door [[NEN (Stichting Koninklijk Nederlands Normalisatie Instituut)|NEN]]-EN-[[ISO (International Organization for Standardization)|ISO]]/[[IEC (International Electrotechnical Commission)|IEC]] een aantal implementatiekaders opgesteld en bestaan er kaders zoals het [[Cybersecurity Framework Version 1.1|Cybersecurity Framework (CSW)]] van [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]] en de [[Cloud Controls Matrix (CCM)|Cloud Control Matrix (CCM)]] van [[CSA (Cloud Security Alliance)|Cloud Security Alliance (CSA)]], gericht op de beveiliging van clouddiensten. Ook de [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]], standaarden van de [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]], [[ITU (International Telecommunication Union)|International Telecommunication Union (ITU)]] en de [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen|ICT-Beveiligingsrichtlijnen voor Webapplicaties]] van het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]] bevatten relevante controls en maatregelen voor clouddiensten. Een probleem voor overheidspartijen is dat een handig overzicht ontbreekt voor een samenvatting van alle relevante zaken over clouddiensten, eenduidig gerelateerd aan de BIO. Een veel gehoorde uitspraak is: ‘We zien door de bomen het bos niet meer.’.
De schrijfgroep heeft diverse workshops georganiseerd waarin verschillende overheidspartijen hebben geparticipeerd. Deze partijen hebben hun beleidsdocumenten ter beschikking gesteld en hun visie, risico’s en problematiek gedeeld waarmee ze in de praktijk geconfronteerd worden. Met deze informatie en risico’s verbonden aan clouddiensten heeft de schijfgroep deze thema-uitwerking opgesteld en ter review aan de overheidspartijen aangeboden. Versie 1.1 bevat een compleet beeld van onderwerpen die voor informatieveiligheid en privacy de aandacht vereisen bij de verwerving van clouddiensten. De privacyaspecten zijn in de [https://www.informatiebeveiligingsdienst.nl/product/handreiking-cloudcomputing-en-privacy/ handreiking Cloudcomputing en Privacy] van de [[IBD (Informatiebeveiligingsdienst)|Informatiebeveiligingsdienst (IBD)]] uitgewerkt.
Voor de structurering van deze thema-uitwerking is dezelfde systematiek gekozen als bij de overige [[Alle normenkaders|BIO Thema-uitwerkingen]]. De beschrijving van de systematiek is in deze thema-uitwerking kort weergegeven.
Deze thema-uitwerking beperkt zich tot die zaken, die vanuit de CSC richting de Cloud Service Provider (CSP) van belang zijn, inclusief de koppelvlakken tussen de CSC en de CSP. Uiteraard speelt de CSC in de informatieketen een belangrijke rol en moet zij haar IT-huishouding op orde hebben. Pas dan kan sprake zijn van een goede samenwerking tussen de CSC en de CSP. Dit gegeven is een belangrijk uitgangspunt voor stakeholders binnen de overheidspartijen.
Er zijn veel inhoudelijke suggesties en reacties ontvangen. De intentie van deze thema-uitwerking is de lezer verder te helpen bij vraagstukken over clouddiensten. Daar waar verbeterd kan worden, kan deze thema-uitwerking verrijkt worden met aangeleverde teksten.
<table class="wikitable">
<tr>
<th> ID </th>
<th> Betekenis van de objecten in relatie tot het thema </th>
<th> Vertaling naar Thema: Serverplatform </th>
</tr>
<tr>
<td> B.01 </td>
<td> Beleid en procedures informatietransport </td>
<td> De waarborging van de bescherming van informatie in netwerken, door inzet van beheerprocedures voor informatietransport en het hanteren van procedures voor bewaking van netwerken. </td>
</tr>
<tr>
<td> B.02 </td>
<td> Overeenkomsten informatietransport </td>
<td> Contracten en afspraken, waarin het dienstverleningsniveau, beveiligingsmechanismen en beheersingseisen voor netwerkdiensten zijn vastgelegd, zowel voor intern geleverde diensten als voor uitbestede diensten. </td>
</tr>
<tr>
<td> B.03 </td>
<td> Cryptografiebeleid </td>
<td> Beleid en afspraken, specifiek gericht op de toepassing van cryptografie binnen netwerken en communicatieservices. </td>
</tr>
<tr>
<td> B.04 </td>
<td> Organisatiestructuur netwerkbeheer </td>
<td> Opzet van de administratieve organisatie van netwerk en communicatiebeheer. </td>
</tr>
<tr>
<td> U.01 </td>
<td> Richtlijnen netwerkbeveiliging </td>
<td> Algemene, operationele beveiligingsrichtlijnen voor ontwerp, implementatie en beheer van communicatievoorzieningen. </td>
</tr>
<tr>
<td> U.02 </td>
<td> Beveiligde inlogprocedures </td>
<td> Is gerelateerd aan twee aspecten: Aanmelden en Procedure. · Aanmelden (inloggen) behelst het leggen van een verbinding- via authenticatie middelen. · De procedure is de samenhangende beschrijving van welke activiteiten moeten plaatsvinden. </td>
</tr>
<tr>
<td> U.03 </td>
<td> Netwerk beveiligingsbeheer </td>
<td> Het beheer van beveiligingsprocedures en -mechanismen. </td>
</tr>
<tr>
<td> U.04 </td>
<td> Vertrouwelijkheid- geheimhoudingsovereenkomst </td>
<td> De eisen die aan dienstverleners en partners gesteld worden in de operatie voor het waarborgen van de vertrouwelijkheid van gegevens en de uitvoering van bedrijfsprocessen. </td>
</tr>
<tr>
<td> U.05 </td>
<td> Beveiliging netwerkdiensten </td>
<td> De eisen die aan dienstverleners gesteld worden t.a.v. te nemen maatregelen voor beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van de beheerprocessen. </td>
</tr>
<tr>
<td> U.06 </td>
<td> Zonering en filtering </td>
<td> Gaat over twee aspecten: Scheiding en Gecontroleerde doorgang. · Scheiding is het positioneren van netwerken in afzonderlijke fysieke ruimten of het segmenteren van netwerken in afzonderlijk te beveiligen (logische) domeinen. · Gecontroleerde doorgang is het reguleren van de toegang van personen tot netwerkvoorzieningen en/of het en filteren van informatiestromen op basis van beleidsregels met filters en algoritmen. </td>
</tr>
<tr>
<td> U.07 </td>
<td> Elektronische berichten </td>
<td> Beveiliging van elektronisch berichtenverkeer, zoals b.v. e-mail, web-verkeer, chat-sessies en ‘streaming’ audio en video. Beveiliging omvat maatregelen voor bescherming van het berichtenverkeer, zoals geautoriseerde toegang, correcte adressering en integer datatransport, beschikbaarheid en (wettelijke) bepalingen voor elektronische handtekening en onweerlegbaarheid. </td>
</tr>
<tr>
<td> U.08 </td>
<td> Toepassingen via openbare netwerken </td>
<td> Gebruik van openbare netwerken voor uitwisseling van informatie van uitvoeringsdiensten vereist bescherming tegen inbraak, waarmee frauduleuze praktijken, geschillen over contracten en onbevoegde openbaarmaking of onbevoegde wijziging kunnen worden voorkomen. </td>
</tr>
<tr>
<td> U.09 </td>
<td> Gateway / Firewall </td>
<td> Beveiligingsmechanisme voor zonering en gecontroleerde toegang. </td>
</tr>
<tr>
<td> U.10 </td>
<td> Virtual Private Networks (VPN) </td>
<td> Beveiligingsmechanisme voor het inrichten van een vertrouwd toegangspad tussen 2 of meerdere netwerk-nodes. </td>
</tr>
<tr>
<td> U.11 </td>
<td> Cryptografische services </td>
<td> Versleuteling van netwerkverkeer, met behulp van hardware of software voorzieningen, die kunnen voorkomen op alle zeven lagen van het OSI-model. Cryptografische services voor communicatie met partners en burgers maken gebruik van Public Key Infrastuctuur middelen, zoals de aan certificaten gebonden private en publieke sleutels. </td>
</tr>
<tr>
<td> U.12 </td>
<td> Wireless Access </td>
<td> Toegang tot draadloze netwerken bedoeld voor mobiele communicatie. </td>
</tr>
<tr>
<td> U.13 </td>
<td> Netwerk connecties </td>
<td> Verbindingen netwerk-eindpunten (nodes) worden beheerd en zijn vastgelegd in een netwerktopologie. </td>
</tr>
<tr>
<td> U.14 </td>
<td> Netwerk authenticatie </td>
<td> Voorziening, die controleert of een netwerkdevice geautoriseerd is om op het netwerk te kunnen worden aangesloten. </td>
</tr>
<tr>
<td> U.15 </td>
<td> Netwerkbeheeractiviteit </td>
<td> Activiteiten die uitsluitend door netwerkbeheerders kunnen worden uitgevoerd op communicatievoorzieningen. </td>
</tr>
<tr>
<td> U.16 </td>
<td> Vastleggen netwerkevents </td>
<td> Het uniek en onveranderlijk vastleggen van (beveiligings) gebeurtenissen in een netwerk (in een audit-logfile). </td>
</tr>
<tr>
<td> U.17 </td>
<td> Netwerksecurityarchitectuur </td>
<td> Beschrijving en beelden van de structuur en onderlinge samenhang van de verschillende beveiligingsfuncties in een netwerk. </td>
</tr>
<tr>
<td> C.01 </td>
<td> Naleving richtlijnen netwerkbeheer en evaluatie. </td>
<td> Evaluatie op de naleving van netwerkbeveiligingsbeleid. </td>
</tr>
<tr>
<td> C.02 </td>
<td> Netwerksecurity Compliance checking </td>
<td> Periodieke toetsing en managementrapportage over naleving van het beveiligingsbeleid voor netwerkdiensten. </td>
</tr>
<tr>
<td> C.03 </td>
<td> Evalueren robuustheid netwerkbeveiliging </td>
<td> Toetsing van de robuustheid (resilience) van beveiligingsfuncties in communicatievoorzieningen. </td>
</tr>
<tr>
<td> C.04 </td>
<td> Evalueren gebeurtenissen (monitoring) </td>
<td> Het beoordelen van de (doorlopend) verzamelde security gerelateerde gebeurtenissen in netwerken. </td>
</tr>
<tr>
<td> C.05 </td>
<td> Beheersorganisatie netwerkbeveiliging </td>
<td> De opzet van een toereikende organisatiestructuur voor het beheren van- en rapporteren over netwerken en communicatievoorzieningen. </td>
</tr>
<caption align="bottom">Communicatievoorzieningen, Omschrijving van de geïdentificeerde ISO-27002 objecten</caption></table>
Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Communicatievoorzieningen. Het is geënt op controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO) 2019]], [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002:2017]] (hierna genoemd ISO 27002), implementatiestandaarden-reeks ISO 27033 en tevens op best practices van de [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]] en [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]].
==Opzet BIO Thema-uitwerking==
De BIO Thema-uitwerking Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI en SoGP. De [[patronen|NORA-patronen]] zijn gebruikt voor afbeeldingen en begeleidende teksten. NORA staat voor Nederlandse Overheid Referentie Architectuur De implementatiestandaard ISO 27033 deel 1 t/m 6 biedt, gerelateerd aan de ISO 27002, overzicht en een technische duiding van netwerkbeveiliging.
Deze thema-uitwerking volgt de standaardopzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]:
# Context en globale structuur van de thema-uitwerking [[BIO Thema Communicatievoorzieningen/Inleiding#Context van communicatievoorzieningen|(zie hoofdstuk Context van communicatievoorzieningen)]]
# Scope en begrenzing van de thema-uitwerking [[BIO Thema Communicatievoorzieningen/Inleiding#Scope en begrenzing|(zie hoofdstuk Scope en begrenzing)]]
# Globale relaties tussen de geïdentificeerde beveiligingsobjecten [[BIO Thema Communicatievoorzieningen/Inleiding#Globale relaties tussen de beveiligingsobjecten|(zie hoofdstuk Globale relaties tussen de beveiligingsobjecten)]]
==Context communicatievoorzieningen==
De basis voor de uitwerking van de BIO Thema-uitwerking Communicatievoorzieningen is de BIO. In hoofdstuk 13 van de BIO worden verschillende typen communicatievoorzieningen genoemd, zoals geïllustreerd in de afbeelding 'Schematische weergave context communicatievoorzieningen', te weten:
* Openbare diensten, Het gebruik van openbare diensten, zoals: instant messaging en sociale media (vehikel).
* Elektronische berichten, Informatie opgenomen in elektronische berichten (inhoud).
* Informatietransport, Het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: e-mail, telefoon, fax en video (inhoud).
* Netwerkdiensten, Het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel).
* Netwerk (infrastructuur), Dit betreft de fysieke en logische verbindingen (vehikel).
[[Afbeelding:Schematische weergave context communicatievoorzieningen feb 2021.png|thumb|none|400px|Schematische weergave context communicatievoorzieningen|alt=”Schematische weergave context communicatievoorzieningen”]]
Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft een of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen.
In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Onderstaande afbeelding schetst de belangrijkste soorten van netwerkkoppelingen:
* Tussen organisaties onderling
* Tussen organisaties en publieke netwerken
* Binnen organisaties
[[Afbeelding:Thema Communicatievoorzieningen - Soorten netwerkkoppelingen.png|thumb|none|400px|Overzicht soorten netwerkkoppelingen|alt=”Overzicht soorten netwerkkoppelingen”]]
Het doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie.
De beveiligingsmaatregelen binnen de ISO-standaard hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van de netwerkinfrastructuur is segmentering en compartimentering, tezamen zonering genoemd.
Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: ‘vertrouwd toegangspad’ en beveiliging in ‘koppelvlakken’. Hiervoor bieden de NORA-patronen een praktische invulling.
In deze thema-uitwerking wordt een netwerk beschouwd als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment.
==Scope en begrenzing communicatievoorzieningen==
Deze BIO Thema-uitwerking omvat een set communicatie-beveiligingsobjecten en -maatregelen voor netwerkvoorzieningen <sup class="reference smartref" id="cite_ref-ISO27033_1-0">[[BIO Thema Communicatievoorzieningen/Inleiding#cite_note-ISO27033-1|1]]</sup>, zoals weergegeven in de afbeelding 'Schematische weergave context communicatievoorzieningen'. De uitwerking van deze thema-uitwerking beperkt zich tot deze type communicatievoorzieningen.
Er zijn essentiële objecten uit andere best practices dan de BIO gebruikt, die gerelateerd zijn aan dit type communicatievoorzieningen. Bepaalde typen communicatiefaciliteiten, zoals: Voice over IP (VOIP), intranet en extranet zijn in deze BIO Thema-uitwerking niet uitgewerkt. Er wordt niet diepgaand ingegaan op:
* bepaalde typen verbindingen, zoals Virtual Private Network (VPN)- en gateway-verbindingen;
* communicatievoorzieningen, zoals instant messaging en e-mail.
De begrenzing van deze BIO Thema-uitwerking is in onderstaande afbeelding weergegeven.
[[Bestand:CVZ Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|none
|500px|Relatie BIO Thema-uitwerking Communicatievoorzieningen met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]
==Globale relaties tussen beveiligingsobjecten==
Onderstaande afbeelding geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een informatievoorzieningslandschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van netwerkconnecties die de verschillende netwerken en informatievoorzieningen met elkaar verbinden.
[[Afbeelding:Thema Communicatievoorzieningen - Toepassing van beveiligingsobjecten.png|thumb|none|400px|Toepassing van beveiligingsobjecten|alt=”Toepassing beveiligingsobjecten”]]
Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s.
Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van de binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie.
Cryptografische services verzorgen de zonering voor het gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt.
In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via draadloze toegang en worden beveiligd met onder andere netwerkauthenticatie.
Een netwerkbeheerorganisatie draagt met richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het actueel houden van beveiligingsmaatregelen.
Via het vastleggen van events, de evaluatie van de netwerkmonitoring en het evalueren van de netwerkbeveiliging worden de actuele werking van de maatregelen getoetst en waar nodig versterkt.
Meer over de technologie van beveiligingsobjecten is te vinden op de [[NORA online]] onder het thema [[Beveiliging]] bij de 'Patronen voor informatiebeveiliging'.
==Inleiding en doel==
Dit document biedt de gebruiker een korte samenvatting van het thema Communicatievoorzieningen en legt daarbij een verbinding tussen de BIO-norm met de uitvoeringspraktijk. Doel van dit document en elk BIO-thema, is organisaties handvatten te bieden en wegwijs te maken in welke beveiligingsnormen van toepassing zijn per aandachtsgebied en welke praktijkhulp daarbij beschikbaar is.
==Context==
De basis voor de uitwerking van het thema Communicatievoorzieningen is de BIO en daarmee in het bijzonder Hoofdstuk 13 van ISO-27002; hierin worden verschillende type communicatievoorzieningen genoemd, zoals geschetst in onderstaande figuur:
* Openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media (IV);
* Elektronische berichten – Informatie opgenomen in elektronische berichten (Data);
* Informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (Data);
* Netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor de beveiligen netwerkdiensten, zoals authenticatie (IV);
* Netwerk (infrastructuur) - het betreft fysieke en logische verbindingen (IV).
[[Bestand:CVZ Schematische weergave context communicatievoorzieningen.png||thumb|none|500px|Schematische weergave context communicatievoorzieningen|alt=”Schematische weergave context communicatievoorzieningen”]]
Iedere organisatie met klantprocessen, gebruikt communicatievoorzieningen en heeft daarvoor één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via de onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen.
De beveiligingsmaatregelen binnen ISO hebben betrekking op de boven vermelde communicatievoorzieningen. Een van de belangrijkste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering. Hierbij zijn beveiligingsobjecten van toepassing, zoals: zonering, filtering, vertrouwd toegangspad en koppelvlakken. Hiervoor bieden de NORA patronen een praktische invulling.
In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium) bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken.
==Beveiligingsobjecten met cross reference naar handreikingen==
Tabel "Beveiligingsobjecten met bronverwijzing" geeft een overzicht van de relevante, voor communicatiebeveiliging toe te passen beveiligingsobjecten, die afgeleid zijn van BIO-controls met een verwijzing naar praktische handreikingen. Daar waar er sprake is van een 1:1 relatie met BIO-controls, is dat hieronder aangegeven.
De handreikingen zijn de door ISO gepubliceerde implementatiegidsen zoals ISO27033, de NIST, de Standard of Good Practice van ISF en NORA patronen. Hieronder is gekozen voor een alfabetische bronverwijzing per document, waarbij na de letter, b.v: a) het hoofdstuk/paragraaf wordt vermeld.
De Bronverwijzing geeft het Documentnaam, Versie, Eigenaar en Toelichting.
Voor dreigingen, aanbevelingen, planning en ontwerp van organisatie en techniek, kan de BSI: IT-Grundschutz catalogues worden geraadpleegd, die vrij toegankelijk is op internet; zie bronverwijzing.
<table class="wikitable"><tr style="background-color:#d9d9d9">
<tr>
<th class="tg-0lax"> Beveiligingsobject </th>
<th class="tg-0lax"> BIO Control </th>
<th class="tg-0lax"> Handreikingen Zie Bronverwijzing voor documentnaam en details. </th>
<th class="tg-0lax"> Toelichting of link </th>
</tr>
<tr>
<td class="tg-0lax"> Beleid en procedures informatietransport </td>
<td class="tg-0lax"> 13.2.1 </td>
<td class="tg-0lax"> a)-6.2 </td>
<td class="tg-0lax"> Overview and Concepts. Het algemene deel van Network Security </td>
</tr>
<tr>
<td class="tg-0lax"> Overeenkomsten informatietransport </td>
<td class="tg-0lax"> 13.2.2 </td>
<td class="tg-0lax"> g)-S.6 </td>
<td class="tg-0lax"> Guidelines for the design and implementation of network security </td>
</tr>
<tr>
<td class="tg-0lax"> Cryptografiebeleid </td>
<td class="tg-0lax"> 10.1.1; 18.1.5.1 </td>
<td class="tg-0lax"> a)- 8.8 </td>
<td class="tg-0lax"> Reference networking scenario’s Threats design techniques and control issues </td>
</tr>
<tr>
<td class="tg-0lax"> Organisatiestructuur Netwerkbeheer </td>
<td class="tg-0lax"> ISO 27001 ISMS </td>
<td class="tg-0lax"> a)-8.2, l) </td>
<td class="tg-0lax"> Securing communications between networks using security gateways </td>
</tr>
<tr>
<td class="tg-0lax"> Richtlijnen netwerkbeveiliging </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> a) -8.2.2.3, b)-6,7,8 </td>
<td class="tg-0lax"> Securing communications across networks using Virtual Private Networks </td>
</tr>
<tr>
<td class="tg-0lax"> Beveiligde inlogprocedure </td>
<td class="tg-0lax"> 9.4.2 </td>
<td class="tg-0lax"> a)-8.4 </td>
<td class="tg-0lax"> Securing wireless IP network access </td>
</tr>
<tr>
<td class="tg-0lax"> Netwerk beveiligingsbeheer </td>
<td class="tg-0lax"> 13.1.1 </td>
<td class="tg-0lax"> a)-8.2 </td>
<td class="tg-0lax"> https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html </td>
</tr>
<tr>
<td class="tg-0lax"> Vertrouwelijkheid/geheimhoudingsovereenkomst </td>
<td class="tg-0lax"> 13.2.4 </td>
<td class="tg-0lax"> j) Roles and Responsibilities NW1.1 </td>
<td class="tg-0lax"> Institute of Standards and Technology: www.nist.gov </td>
</tr>
<tr>
<td class="tg-0lax"> Beveiliging netwerkdiensten </td>
<td class="tg-0lax"> 13.1.2 </td>
<td class="tg-0lax"> a)-10.6 </td>
<td class="tg-0lax"> Patronen: https://www.noraonline.nl/wiki/Beveiliging </td>
</tr>
<tr>
<td class="tg-0lax"> Zonering en filtering </td>
<td class="tg-0lax"> 13.1.3 </td>
<td class="tg-0lax"> a)-10.7, b)-7.2.3, i)-Zoneringsmodel </td>
<td class="tg-0lax"> Information Security Forum: www.securityforum.org </td>
</tr>
<tr>
<td class="tg-0lax"> Elektronische berichten </td>
<td class="tg-0lax"> 13.2.3 </td>
<td class="tg-0lax"> a)-10.3, 10.8 </td>
<td class="tg-0lax"> Nationaal Cyber Security Centrum (NCSC): www.ncsc.nl </td>
</tr>
<tr>
<td class="tg-0lax"> Toepassingen via openbare netwerken </td>
<td class="tg-0lax"> 14.2.1 </td>
<td class="tg-0lax"> </td>
<td class="tg-0lax"> Information Technology Infrastructure Library </td>
</tr>
<tr>
<td class="tg-0lax"> Gateway / Firewall </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> d) geheel, i)-NORA Koppelvlak, j)-NC1.5 </td>
<td class="tg-0lax"> ISO-kader voor: Encryption Algorithms </td>
</tr>
<tr>
<td class="tg-0lax"> Virtual Private Networks (VPN) </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> e) geheel, i)-NORA Vertrouwd toegangspad </td>
<td class="tg-0lax"> ISO-Information Security Management Systems Guidance </td>
</tr>
<tr>
<td class="tg-0lax"> Cryptografische service </td>
<td class="tg-0lax"> Hoofdstuk 10 </td>
<td class="tg-0lax"> a)-8.2.2.5, i)-NORA Encryptie patronen, j) NC1.1 </td>
<td class="tg-0lax"> Encryption algorithms: Asymmetric ciphers </td>
</tr>
<tr>
<td class="tg-0lax"> Wireless Access </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> f) geheel, i)-NORA Draadloos netwerk </td>
<td class="tg-0lax"> Korte beschrijving van het SIVA raamwerk met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden. </td>
</tr>
<tr>
<td class="tg-0lax"> Netwerk connecties </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> a)-8.2.2.5, i)-NORA Koppelvlak </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Netwerk authenticatie </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> i)-NORA Beschouwingsmodel Netwerk </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Netwerkbeheeractiviteit </td>
<td class="tg-0lax"> 13.1 </td>
<td class="tg-0lax"> a), b)-8.4 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Vastleggen netwerkevents </td>
<td class="tg-0lax"> 12.4 </td>
<td class="tg-0lax"> a), b)-8.5 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Netwerk security architectuur </td>
<td class="tg-0lax"> Niet in BIO </td>
<td class="tg-0lax"> a)-9.2, b)-8.6, NORA div. patronen, j) Network design </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Naleving richtlijnen netwerkbeheer en evaluaties </td>
<td class="tg-0lax"> 18.2.2 </td>
<td class="tg-0lax"> j) Corporate Governance: SM1.1.1, SM3.5.2 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Netwerk security compliancy checking </td>
<td class="tg-0lax"> 18.2.3 </td>
<td class="tg-0lax"> a)-8.2.2.4, b)-7.2.6, 8.7 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Evalueren robuustheid netwerkbeveiliging </td>
<td class="tg-0lax"> 18.2.1, 18.1.2, ISO 27001 ISMS </td>
<td class="tg-0lax"> a)-8.2.5, j) Network resilience: NW1.3 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Evalueren gebeurtenissen (monitoring) </td>
<td class="tg-0lax"> 16.1 </td>
<td class="tg-0lax"> a)-8.2.4 </td>
<td class="tg-0lax"></td>
</tr>
<tr>
<td class="tg-0lax"> Beheersorganisatie Netwerkbeveiliging </td>
<td class="tg-0lax"> 13.1 </td>
<td class="tg-0lax"> n), j) Network Documentation: NW 1.4 </td>
<td class="tg-0lax"></td>
<caption align="bottom">Communicatievoorzieningen, ISOR:Communicatievoorzieningen - Beveiligingsobjecten met bronverwijzing</caption></table>
[[Categorie:ISOR]] [[Categorie:BIO Thema Communicatievoorzieningen]]
==Overzicht objecten gepositioneerd in BUC/IFGS matrix==
Hieronder zijn alle onderwerpen voor communicatiebeveiliging samengevat. Vervolgens worden deze onderwerpen (objecten) verbonden aan BIO-‘controls’, of aan controls uit andere relevante standaarden. De figuur 'Voor Communicatievoorzieningen relevante beveiligingsobjecten' is het resultaat van een volledigheidsanalyse, uitgevoerd met de SIVA methode (zie: SIVA toepassingssystematiek).
De wit ingekleurde objecten zijn relevant voor het thema, maar ontbreken als control in de ISO 27002. Ze zijn afkomstig uit andere standaarden en ISO implementatiegidsen (zie: cross-reference).
[[Bestand:CVZ Overzicht beveiligingsobjecten.png|thumb|none|500px|Voor Communicatievoorzieningen relevante beveiligingsobjecten|alt=”Voor Communicatievoorzieningen relevante beveiligingsobjecten”]]
==Bronverwijzing==
Onderstaande lijst van brondocumenten verwijst waar mogelijk naar publiek- toegankelijke documenten.
* Om ‘dode’ verwijzingen te voorkomen is minimaal gebruik gemaakt van links.
* Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden.
* Op NEN-ISO/IEC documenten rusten licentierechten; voor de overheid zijn deze afgekocht (log in via NEN-connect).
* Voor raadplegen van ISF documenten, zoals o.a. de SoGP moet de gebruikersorganisatie lid zijn van het ISF.
* IT-Grundschutz, NORA en NIST zijn vrij toegankelijk op internet.
<table class="wikitable"><tr style="background-color:#d9d9d9">
<tr>
<th class="tg-s268"> Nr. </th>
<th class="tg-0lax"> Documentnaam </th>
<th class="tg-0lax"> Versie </th>
<th class="tg-0lax"> Eigenaar </th>
<th class="tg-0lax"> Toelichting of link </th>
</tr>
<tr>
<td class="tg-0lax"> a) </td>
<td class="tg-0lax"> ISO 27033 Deel 1 </td>
<td class="tg-0lax"> Aug 2015 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Overview and Concepts. Het algemene deel van Network Security </td>
</tr>
<tr>
<td class="tg-0lax"> b) </td>
<td class="tg-0lax"> ISO 27033 Deel 2 </td>
<td class="tg-0lax"> Aug 2012 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Guidelines for the design and implementation of network security </td>
</tr>
<tr>
<td class="tg-0lax"> c) </td>
<td class="tg-0lax"> ISO 27033 Deel 3 </td>
<td class="tg-0lax"> Dec 2010 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Reference networking scenario’s Threats design techniques and control issues </td>
</tr>
<tr>
<td class="tg-0lax"> d) </td>
<td class="tg-0lax"> ISO 27033 Deel 4 </td>
<td class="tg-0lax"> Feb 2014 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Securing communications between networks using security gateways </td>
</tr>
<tr>
<td class="tg-0lax"> e) </td>
<td class="tg-0lax"> ISO 27033 Deel 5 </td>
<td class="tg-0lax"> Aug 2013 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Securing communications across networks using Virtual Private Networks </td>
</tr>
<tr>
<td class="tg-0lax"> f) </td>
<td class="tg-0lax"> ISO 27033 Deel 6 </td>
<td class="tg-0lax"> Juni 2016 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Securing wireless IP network access </td>
</tr>
<tr>
<td class="tg-0lax"> g) </td>
<td class="tg-0lax"> BSI: IT-Grundschutz </td>
<td class="tg-0lax"> 2013 </td>
<td class="tg-0lax"> DE gov. </td>
<td class="tg-0lax"> https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html </td>
</tr>
<tr>
<td class="tg-0lax"> h) </td>
<td class="tg-0lax"> NIST </td>
<td class="tg-0lax"> nvt </td>
<td class="tg-0lax"> US gov. </td>
<td class="tg-0lax"> Institute of Standards and Technology: www.nist.gov </td>
</tr>
<tr>
<td class="tg-0lax"> i) </td>
<td class="tg-0lax"> NORA, thema beveiliging </td>
<td class="tg-0lax"> Wiki </td>
<td class="tg-0lax"> NL gov. </td>
<td class="tg-0lax"> Patronen: https://www.noraonline.nl/wiki/Beveiliging </td>
</tr>
<tr>
<td class="tg-0lax"> j) </td>
<td class="tg-0lax"> ISF Standard of Good Practice (SoGP) </td>
<td class="tg-0lax"> 2007 </td>
<td class="tg-0lax"> ISF </td>
<td class="tg-0lax"> Information Security Forum: www.securityforum.org </td>
</tr>
<tr>
<td class="tg-0lax"> k) </td>
<td class="tg-0lax"> NCSC (diverse documenten) </td>
<td class="tg-0lax"> nvt </td>
<td class="tg-0lax"> NCSC </td>
<td class="tg-0lax"> Nationaal Cyber Security Centrum (NCSC): www.ncsc.nl </td>
</tr>
<tr>
<td class="tg-0lax"> l) </td>
<td class="tg-0lax"> ITIL </td>
<td class="tg-0lax"> Versie 3 </td>
<td class="tg-0lax"> ITIL foundation </td>
<td class="tg-0lax"> Information Technology Infrastructure Library </td>
</tr>
<tr>
<td class="tg-0lax"> m) </td>
<td class="tg-0lax"> ISO 18033-1 General </td>
<td class="tg-0lax"> Aug 2015 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> ISO-kader voor: Encryption Algorithms </td>
</tr>
<tr>
<td class="tg-0lax"> n) </td>
<td class="tg-0lax"> ISO 27003 ISMS </td>
<td class="tg-0lax"> Apr 2017 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> ISO-Information Security Management Systems Guidance </td>
</tr>
<tr>
<td class="tg-0lax"> o) </td>
<td class="tg-0lax"> ISO 18033-2 </td>
<td class="tg-0lax"> Juni 2006 </td>
<td class="tg-0lax"> NEN-ISO/IEC </td>
<td class="tg-0lax"> Encryption algorithms: Asymmetric ciphers </td>
</tr>
<tr>
<td class="tg-0lax"> p) </td>
<td class="tg-0lax"> SIVA toepassingssystematiek </td>
<td class="tg-0lax"> Versie 0.4 </td>
<td class="tg-0lax"> Werkgroep Normatiek </td>
<td class="tg-0lax"> Korte beschrijving van het SIVA raamwerk met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden. </td>
</tr>
<caption align="bottom">Communicatievoorzieningen, Bronverwijzing</caption></table>
[[Categorie:ISOR]] [[Categorie:BIO Thema Communicatievoorzieningen]]
==Schematische weergave huisvesting IV-objecten==
Huisvesting IV omvat een geheel van objecten voor het leveren van betrouwbare hostingdiensten. De essentiële objecten van huisvesting IV worden in afbeelding 'Schematische weergave huisvesting IV-objecten' weergegeven. De elementen worden toegelicht in het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleids-]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoerings-]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]].
[[Bestand:HVI Schematische weergave huisvesting informatievoorzieningsobjecten.png|none|thumb|500px|Schematische weergave huisvesting IV-objecten|alt=” Schematische weergave huisvesting IV-objecten”]]
==Beleidsdomein==
Binnen het beleidsdomein bevat huisvesting IV randvoorwaarden. Objecten die als randvoorwaarden gelden voor de gehele huisvesting IV zijn: beleid, wet- en regelgeving, contracten en organisatiestructuur e.d.
==Uitvoeringsdomein==
Binnen het uitvoeringsdomein bevat huisvesting IV een scala aan componenten die grofweg zijn onder te verdelen in:
* Terrein, Terrein betreft de locaties van huisvesting IV.
* Gebouwen, faciliteiten en werkruimten, Gebouwen, faciliteiten en werkruimten zijn de aan huisvesting IV-georiënteerde objecten. Ze zorgen voor het fysieke bestaan van huisvesting IV. Onder het fysieke bestaan vallen ook de terreinen en de zonering (in ruimten) van gebouwen.
* Voorzieningen, Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten voor huisvesting IV. Dit is gericht op bedrijfsmiddelen en nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee huisvesting IV-diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. Met andere woorden, dit zijn zowel fysieke als elektronisch en informatietechnologie-gerelateerde objecten voor de te leveren huisvesting IV-diensten.
==Control-domein==
Binnen het control-domein bevat huisvesting IV beoordelingsrichtlijnen en procedures. De beoordelingsrichtlijnen zijn vastgesteld voor het evalueren van vastgestelde randvoorwaarden en uitvoeringscomponenten.
==Organisatie huisvesting IV-objecten==
De geïdentificeerde huisvesting IV-objecten zijn met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenissen van de lagen zijn:
* Beleidsdomein, Binnen dit domein bevinden zich conditionele elementen over huisvesting IV. Hier zijn eisen opgenomen over geboden en verboden, zoals het huisvesting IV-beleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.
* Uitvoeringsdomein, Binnen dit domein bevinden zich:
** elementen die gerelateerd zijn aan operationele activiteiten van huisvesting IV;
** elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
** elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
* Control-domein, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot huisvesting IV en of deze wel naar wens verlopen.
Objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. ISOR staat voor Information Security Object Repository. Enkele van de objecten zijn uniek voor de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Objecten die aanvullend aan de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]] voor de beveiliging van een bepaald toepassingsgebied nodig geacht worden, zijn met de [[SIVA-methodiek|Structuur, Inhoud, Vorm en Analysevolgorde (SIVA)-methodiek]] bepaald. Deze relateren zo mogelijk aan standaarden als de [[The Standard of Good Practice for Information Security 2018|Standard of Good Practice (SoGP)]].
Deze thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Huisvesting Informatievoorzieningen, hierna genoemd Huisvesting IV. Het is gebaseerd op de controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Voor die aspecten, waar de BIO onvoldoende praktische invulling geeft, zijn onder andere de volgende best practices geraadpleegd: [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002:2017]] hierna genoemd ISO 27002, [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]] en diverse van de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].
Afbeelding 'Overzicht BIO-thema’s en positie thema Huisvesting IV' geeft de relatie weer tussen het thema Huisvesting IV en de overige [[Alle normenkaders|BIO Thema-uitwerkingen]].
[[Bestand:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur.png|thumb|none|500px|Overzicht BIO-thema’s en positie thema Huisvesting IV|alt=”Overzicht BIO-the-ma’s en positie thema Huisvesting IV”]]
==Huisvesting IV==
In deze thema-uitwerking is een set beveiligingsmaatregelen voor de BIO Thema-uitwerking Huisvesting IV opgenomen. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (objecten) uit de BIO. Objecten die ontbreken in de BIO en die uit analyses voortvloeien, worden betrokken uit andere best practices, zoals de ISO 27002 en de SoGP. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in afbeelding 'Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten' weergegeven.
[[Bestand:HVI Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|none|500px|Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]
De objecten en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de objecten en de bijbehorende maatregelen georganiseerd zijn in het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleids-]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoerings-]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]]. Afbeelding 'Thema Huisvesting Relatie tussen objecten in het beleids-, uitvoerings- en control-domein' schetst de structuur waarin een relatie wordt gelegd tussen de objecten binnen het beleids-, uitvoerings- en control-domein voor huisvesting IV.
[[Bestand:HVI Relatie tussen objecten in het beleids-, uitvoerings- en control-domein.png|thumb|none|500px|Relatie tussen objecten in het beleids-, uitvoerings- en control-domein|alt=”Relatie tussen objecten in het beleids-, uitvoerings- en control-domein”]]
==Scope en begrenzing huisvesting IV==
De te stellen eisen aan huisvesting IV worden vooral bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT-diensten en de daarvoor benodigde huisvesting.
Het management van de doelorganisatie blijft verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT-ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type huisvesting IV past bij de organisatie.
De volgende 3 opties zijn mogelijk:
# Fysieke huisvesting, Bij deze traditionele huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie onder beheer van de doelorganisatie.
# Modulaire huisvesting, Bij deze huisvestingsvorm is het rekencentrum ondergebracht in mobiele bouwblokken, die flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers).
# Virtuele huisvesting, Bij deze vorm is het rekencentrum ondergebracht in een (private of publieke) cloud. Bij deze vorm van huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie. Men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals Infrastructure As A Service (IAAS), Platform as a Service (PAAS) of Software As A Service (SAAS).
Afhankelijk van de gemaakte inrichtingskeuze voor huisvesting IV zijn normen voor de huisvesting in meer of mindere mate van toepassing.
Deze thema-uitwerking beschrijft optie 1 ‘Fysieke huisvesting’ en daarbij de objecten voor huisvesting IV, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit het huisvestingsbeleid (zie [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|het beleidsdomein]]) wordt de inrichting en beveiliging van de resources binnen het uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (zie [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|het control-domein]]).
[[Bestand:HVI Overzicht fysieke huisvesting informatievoorzieningen.png|thumb|none|500px|Overzicht fysieke huisvesting IV|alt=”Overzicht fysieke huisvesting IV”]]
==Aanpak BIO Thema-uitwerking huisvesting IV==
Het toelichtingsdocument schetst de standaardmethodiek waarmee [[Alle normenkaders|BIO Thema-uitwerkingen]] worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.
==Context beveiliging Huisvesting-IV==
[[Afbeelding:Thema Huisvesting - Verbindingsniveau voor huisvesting.png|thumb|none|250px|Verbindingsniveau voor Huisvesting Informatievoorziening|alt=”Verbindingsniveau voor Huisvesting Informatievoorziening”]]
Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging.
Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas.
Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening.
Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is.
Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV).
[[Afbeelding:Thema Huisvesting - Context Huisvesting-IV.png|thumb|none|600px|Context Huisvesting Informatievoorziening|alt=”Context Huisvesting Informatievoorziening”]]
Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM).
[[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|none|700px|Essentiële objecten in het uitvoering domein|alt=”Essentiële objecten in het uitvoering domein”]]
Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten.
De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur.
[[Afbeelding:Thema Huisvesting - Objecten in het uitvoeringsdomein.png|none|thumb|500px|Objecten in het uitvoering domein|alt=”Objecten in het uitvoering domein”]]
Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie.
*'''Terrein''' – de omheinde, beschermde locaties van de Huisvesting IV
*'''Gebouwen''' – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten.
*'''Voorzieningen''' – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.).
*'''Faciliteiten''' - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc.
Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen.
Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten.
==Generieke objecten==
Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen.
<table class="wikitable"><tr style="background-color:#d9d9d9"><th> Nr
</th>
<th> Bron: ISO/BIO of alternatief
</th>
<th> Generieke objecten
</th></tr><tr><td>1.
</td>
<td>5.1.1.
</td>
<td style="background-color:#ffcc00">Huisvestingsbeleid
</td></tr><tr><td>2.
</td>
<td>7.2.2.
</td>
<td style="background-color:#ffcc00">Training en Awareness
</td></tr><tr><td>3.
</td>
<td>8.1.2.
</td>
<td style="background-color:#ffcc00">Eigenaarschap
</td></tr><tr><td>4.
</td>
<td>18.1.1.
</td>
<td style="background-color:#ffcc00">Wet en regelgeving
</td></tr><tr><td>5.
</td>
<td>Uit SIVA analyse
</td>
<td style="background-color:#ffcc00">Organisatie
</td></tr><tr><td>6.
</td>
<td>Uit SIVA analyse
</td>
<td style="background-color:#ffcc00">Architectuur
</td></tr><tr><td>7.
</td>
<td>idem -> ITIL
</td>
<td style="background-color:#ffcc00">Contractmanagement
</td></tr><tr><td>8.
</td>
<td>idem -> ITIL
</td>
<td style="background-color:#ffcc00">Servicelevelmanagement
</td></tr><tr><td>9.
</td>
<td>idem -> NIST
</td>
<td style="background-color:#ffcc00">Certificering
</td></tr><tr><td>10.
</td>
<td>8.1.1.
</td>
<td style="background-color:#ff9999">Bedrijfsmiddelen inventaris
</td></tr><tr><td>11.
</td>
<td>11.1.1.
</td>
<td style="background-color:#ff9999">Fysieke zonering
</td></tr><tr><td>12.
</td>
<td>11.1.2.
</td>
<td style="background-color:#ff9999">Fysieke toegangsbeveiliging
</td></tr><tr><td>13.
</td>
<td>11.1.3.
</td>
<td style="background-color:#ff9999">Beveiligingsfaciliteit
</td></tr><tr><td>14.
</td>
<td>11.1.4.
</td>
<td style="background-color:#ff9999">Interne en Externe bedreigingen
</td></tr><tr><td>15.
</td>
<td>11.1.5.
</td>
<td style="background-color:#ff9999">Richtlijnen gebieden en ruimten
</td></tr><tr><td>16.
</td>
<td>11.1.6.
</td>
<td style="background-color:#ff9999">Laad- en loslocatie
</td></tr><tr><td>17.
</td>
<td>11.2.1.
</td>
<td style="background-color:#ff9999">Apparatuur positionering
</td></tr><tr><td>18.
</td>
<td>11.2.2.
</td>
<td style="background-color:#ff9999">Nutsvoorzieningen
</td></tr><tr><td>19.
</td>
<td>11.2.3.
</td>
<td style="background-color:#ff9999">Bekabeling
</td></tr><tr><td>20.
</td>
<td>11.2.4.
</td>
<td style="background-color:#ff9999">Apparatuur onderhoud
</td></tr><tr><td>21.
</td>
<td>11.2.5.
</td>
<td style="background-color:#ff9999">Bedrijfsmiddelen verwijdering
</td></tr><tr><td>22.
</td>
<td>11.2.7.
</td>
<td style="background-color:#ff9999">Apparatuur verwijdering
</td></tr><tr><td>23.
</td>
<td>9.2.1.
</td>
<td style="background-color:#99ccff">Registratieprocedure
</td></tr><tr><td>24.
</td>
<td>9.2.4.
</td>
<td style="background-color:#99ccff">Beoordeling Fysieke toegangsrechten
</td></tr><tr><td>25.
</td>
<td>Uit SIVA analyse
</td>
<td style="background-color:#99ccff">Controle richtlijn Huisvesting-IV
</td></tr><tr><td>26.
</td>
<td>idem
</td>
<td style="background-color:#99ccff">Onderhoudsplan
</td></tr><tr><td>27.
</td>
<td>idem
</td>
<td style="background-color:#99ccff">Huisvestingsbeheerorganisatie
</td></tr><tr><td>28.
</td>
<td>idem -> ITIL
</td>
<td style="background-color:#99ccff">Continuïteitsmanagement
</td></tr>
<caption align="bottom">Tabel 6: Vastgestelde generieke objecten</caption></table>
[[:ISOR:Tabellen BUC legenda]]
Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001.
De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice.
==Positionering van objecten gerelateerd aan SIVA basiselementen==
[[Bestand:HVI Overzicht objecten voor huisvesting informatievoorzieningen in het beleidsdomein.png|thumb|none|500px|Objecten in het Beleidsdomein|alt=”Objecten in het beleids-domein”]]
[[Bestand:HVI Overzicht objecten voor huisvesting informatievoorzieningen in het uitvoeringsdomein.png|thumb|none|500px|Objecten in het Beleidsdomein|alt=”Objecten in het uitvoeringsdomein”]]
[[Bestand:HVI Overzicht objecten voor huisvesting informatievoorzieningen in het control-domein.png|thumb|none|500px|Objecten in het Beleidsdomein|alt=”Objecten in het control-domein”]]
Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven.
De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data.
==Cross Reference naar praktijktoepassingen==
Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext.
<table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen</caption>
<tr><td>Nr.
</td>
<td>Bron:ISO…
</td>
<td>
</td>
<td>Onderwerp
</td>
<td>Referentie naar praktijktoepassing(Verwijzing naar brondocumenten)
</td></tr><tr><td>1.
</td>
<td>5.1.1.
</td>
<td style="background-color:#ffd966">B
</td>
<td>Huisvestingsbeleid
</td>
<td>a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e)
</td></tr><tr><td>2.
</td>
<td>7.2.2.
</td>
<td style="background-color:#ffd966">B
</td>
<td>Training en Awareness
</td>
<td>a):H4, h), j), i
</td></tr><tr><td>3.
</td>
<td>8.1.2.
</td>
<td style="background-color:#ffd966">B
</td>
<td>Eigenaarschap
</td>
<td>a):H2 (voor rijk), j), i)
</td></tr><tr><td>4.
</td>
<td>18.1.1.
</td>
<td style="background-color:#ffd966">B
</td>
<td>Wet en regelgeving
</td>
<td>i)
</td></tr><tr><td>5.
</td>
<td>SIVA
</td>
<td style="background-color:#ffd966">B/U
</td>
<td>Organisatie
</td>
<td>a):H4
</td></tr><tr><td>6.
</td>
<td>SIVA
</td>
<td style="background-color:#ffd966">B/U
</td>
<td>Architectuur
</td>
<td>i), Richtlijnen - Rijks vastgoedbedrijf (RVB)
</td></tr><tr><td>7.
</td>
<td>ITIL
</td>
<td style="background-color:#ffd966">B
</td>
<td>Contractmanagement
</td>
<td>a):H8, f)
</td></tr><tr><td>8.
</td>
<td>ITIL
</td>
<td style="background-color:#ffd966">B
</td>
<td>Servicelevelmanagement
</td>
<td>f)
</td></tr><tr><td>9.
</td>
<td>NIST
</td>
<td style="background-color:#ffd966">B
</td>
<td>Certificering
</td>
<td>g)
</td></tr><tr><td>10.
</td>
<td>8.1.1.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Bedrijfsmiddelen inventaris
</td>
<td>i)
</td></tr><tr><td>11.
</td>
<td>11.1.1.
</td>
<td style="background-color:#ff9999">U/GB
</td>
<td>Fysieke zonering
</td>
<td>a): H6, c), e), i)
</td></tr><tr><td>12.
</td>
<td>11.1.2.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Fysieke toegangsbeveiliging
</td>
<td>a): H6, b), c), i)
</td></tr><tr><td>13.
</td>
<td>11.1.3.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Beveiligingsfaciliteit
</td>
<td>NKBR 5.4 voor sleutelplan
</td></tr><tr><td>14.
</td>
<td>11.1.4.
</td>
<td style="background-color:#ff9999">U
</td>
<td>Interne en Externe bedreigingen
</td>
<td>i), k)
</td></tr><tr><td>15.
</td>
<td>11.1.5.
</td>
<td style="background-color:#ff9999">U/GB
</td>
<td>Richtlijnen gebieden en ruimten
</td>
<td>a):geheel document, j), i), o)
</td></tr><tr><td>16.
</td>
<td>11.1.6.
</td>
<td style="background-color:#ff9999">U/GB
</td>
<td>Laad- en loslocatie
</td>
<td>a):H6
</td></tr><tr><td>17.
</td>
<td>11.2.1.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Apparatuur positionering
</td>
<td>a):H7 voor beveiligingsvoorzieningen, i), o)
</td></tr><tr><td>18.
</td>
<td>11.2.2.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Nutsvoorzieningen
</td>
<td>i), Richtlijnen - RVB
</td></tr><tr><td>19.
</td>
<td>11.2.3.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Bekabeling
</td>
<td>i), o), Richtlijnen - RVB
</td></tr><tr><td>20.
</td>
<td>11.2.4.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Apparatuur onderhoud
</td>
<td>i), Richtlijnen - RVB
</td></tr><tr><td>21.
</td>
<td>11.2.5.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Bedrijfsmiddelen verwijdering
</td>
<td>i)
</td></tr><tr><td>22.
</td>
<td>11.2.7.
</td>
<td style="background-color:#ff9999">U/VZ
</td>
<td>Apparatuur verwijdering
</td>
<td>i)
</td></tr><tr><td>23.
</td>
<td>9.2.1.
</td>
<td style="background-color:#99ccff">C
</td>
<td>Registratieprocedure
</td>
<td>i)
</td></tr><tr><td>24.
</td>
<td>9.2.4.
</td>
<td style="background-color:#99ccff">C
</td>
<td>Beo. Fysieke toegangsrechten
</td>
<td>i)
</td></tr><tr><td>25.
</td>
<td>SIVA
</td>
<td style="background-color:#99ccff">C
</td>
<td>Controle richtlijn Huisvesting-IV
</td>
<td>? Richtlijnen - RVB
</td></tr><tr><td>26.
</td>
<td>SIVA
</td>
<td style="background-color:#99ccff">C
</td>
<td>Onderhoudsplan
</td>
<td>? Richtlijnen - RVB
</td></tr><tr><td>27.
</td>
<td>SIVA
</td>
<td style="background-color:#99ccff">C
</td>
<td>Huisvestingsbeheerorganisatie
</td>
<td>a):H4
</td></tr><tr><td>28.
</td>
<td>ITIL
</td>
<td style="background-color:#99ccff">C
</td>
<td>Continuïteitsmanagement
</td>
<td>i), l, m), o), ITIL documentatie
</td></tr></table>
Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.
==Brondocumenten==
Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden.
<table class="wikitable"><caption align="bottom">Bronverwijzing</caption><tr ><td> Nr.
</td>
<td> Documentnaam
</td>
<td> Versie + datum
</td>
<td> Eigenaar
</td>
<td> Toelichting
</td></tr><tr ><td> a)
</td>
<td> Normenkader Beveiliging Rijkskantoren (NKBR)
</td>
<td> 2.02-10-2015
</td>
<td> ICBRBzK
</td>
<td> Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V)
</td></tr><tr ><td> b)
</td>
<td> Kader Rijkstoegangs-beleid
</td>
<td> 1.0 van 11/5/10
</td>
<td> ICBR
</td>
<td> Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’
</td></tr><tr ><td> c)
</td>
<td> Zoneringsmodel rijkskantoren
</td>
<td> 5-jul-11
</td>
<td> BzK
</td>
<td> Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB)
</td></tr><tr ><td> d)
</td>
<td> Richtlijnen Rijks Vastgoedbedrijf (RVB)
</td>
<td> volgt
</td>
<td> RVB
</td>
<td> Nader te bepalen set van eisen in samenspraak met RVB
</td></tr><tr ><td> e)
</td>
<td> NIST PE Physical and Environ-mental Protection (PE)
</td>
<td> jun-10
</td>
<td> NIST
</td>
<td> Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering
</td></tr><tr ><td> f)
</td>
<td> NIST MA System Mainenance Policy and Procedures
</td>
<td> jun-10
</td>
<td> NIST
</td>
<td> Ontwerp & toets-criteria voor beheersingsprocedures
</td></tr><tr ><td> g)
</td>
<td> NIST CA Security Assessment and Authorization Policy and Procedures
</td>
<td> jun-10
</td>
<td> NIST
</td>
<td> Ontwerp & toets-criteria voor Certificering van organisaties
</td></tr><tr ><td> h)
</td>
<td> NIST AT Awaress and Training Policy and Procedures
</td>
<td> jun-10
</td>
<td> NIST
</td>
<td> Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers
</td></tr><tr ><td> i)
</td>
<td> NIST CM Configuration Management Policy and Procedures
</td>
<td> jun-10
</td>
<td> NIST
</td>
<td> Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures
</td></tr><tr ><td> j)
</td>
<td> Standard of Good Practice (SoGP)
</td>
<td> Periodiek
</td>
<td> ISF
</td>
<td> Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen
</td></tr><tr ><td> k)
</td>
<td> KWAS
</td>
<td> Periodiek
</td>
<td> NCSC
</td>
<td> Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit
</td></tr><tr ><td> l)
</td>
<td> NEN-ISO-22323
</td>
<td> 2012
</td>
<td> BzK
</td>
<td> Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief
</td></tr><tr ><td> m)
</td>
<td> NORA patronen voor bedrijfs-continuïteit / BCM
</td>
<td> 2014
</td>
<td> BzK
</td>
<td>https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt
</td></tr><tr ><td> n)
</td>
<td> BIR 1.0
</td>
<td> 2011
</td>
<td> BzK
</td>
<td> BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013
</td></tr><tr ><td> o)
</td>
<td> Telecommunication Infrastructure Standard for Data Centers (TIA-942)
</td>
<td> Periodiek
</td>
<td> ieee802.org /ANSI
</td>
<td> Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet
</td></tr></table>
Op NEN-ISO documenten rusten licentierechten.
Deze BIO Thema-uitwerking is door het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgesteld. Het omvat een gestructureerd referentiekader voor het thema middleware.
==Toelichting op middleware==
Middleware is een technologie-laag (soft- en hardware) binnen de technische architectuurstack. Middleware bevindt zich tussen applicaties (toepassingssoftware) en het serverplatform waarop besturingssoftware draait, zie afbeelding 1.
[[Afbeelding:MDW_Afbeelding_1.png|thumb|none|500px|Positie van middleware in de technische architectuurstack|alt=”Positie van middleware in de technische architectuurstack”]]
Vroeger functioneerde middleware als de laag waarin databases werden gepositioneerd. Tegenwoordig heeft middleware een breder bereik. Het kan zowel als data-laag functioneren, maar ook als integratie-laag. Middleware bestaat uit software- en hardwarecomponenten voor databases, storage, gateways en dergelijke waarin functies voor onder andere opslag, archiveren, bewaren en herstellen van data en koppelen met andere platformen en applicaties functioneren. Moderne middleware kan bestaan uit microservices, die allerlei verwerkingstaken uitvoeren of integratieservices. Voor de koppeling met andere IT-platformen is in deze BIO Thema-uitwerking daarom ook aandacht besteed aan integratieservices, zie bijlage 1 tot en met bijlage 7 voor de verschillende toepassingsvoorbeelden. Middleware wordt in deze thema-uitwerking benaderd vanuit functionaliteiten, componenten en integratieservices, zie afbeelding 2.
[[Afbeelding:MDW_Afbeelding_2.png|thumb|none|500px|Benadering van middleware|alt=”Benadering van middleware”]]
===Functionaliteiten===
Middleware maakt het mogelijk applicaties te ontwikkelen voor verschillende platformen zodat gegevens, onafhankelijk van waar deze gegevens zich bevinden, op dezelfde manier kunnen worden opgeslagen en indien nodig kunnen worden hersteld en uitgewisseld.
===Componenten===
Componenten zijn technische objecten zoals databases, hard- en software voor dataopslag en hard- en software voor data-uitwisseling. De eindgebruikers krijgen uitsluitend toegang tot de data via applicaties. Beheerders kunnen via speciale toegangsrechten rechtstreeks toegang krijgen tot systeemdata en componenten, zoals back-up-voorzieningen of integratieservices.
===Integratieservices===
Middleware kan in een complexe gedistribueerde omgevingen een hybriderol vervullen, waarbij sprake is van een ontwikkelomgeving of van instelbare infrastructuur voor interoperabiliteit tussen informatiesystemen onderling. Het instellen vereist speciale toegangsrechten.
==Doel Middleware==
Middleware is een categorie technologieën, ontworpen om de compliciteit en heterogeniteit, inherent aan gedistribueerde systemen te beheersen.
Het doel van de BIO Thema-uitwerking Middleware is een beeld geven van relevante onderwerpen (hierna genoemd objecten) waarmee organisaties worden ondersteund bij het aangaan van contractuele verplichtingen voor toegankelijkheid, integriteit en beschikbaarheid van de geboden functionaliteit en bij de selectie van data-gerelateerde componenten zoals databases, storage en gateways.
Toepassing van dit referentiekader draagt bij aan het bereiken van het BIO-basisbeveiligingsniveau (BBN) 1 en 2. Het bereiken van het noodzakelijke beveiligingsniveau vindt plaats op basis van risico’s, waarbij de focus op een specifiek onderwerp wordt gelegd. BIO-controls worden dus niet per BIO-hoofdstuk geïmplementeerd maar in de context van dat onderwerp. Hierbij worden relevante controls uit verschillende BIO-hoofdstukken in hun samenhang aangeboden.
==Doelgroepen==
Dit document heeft 3 primaire doelgroepen, te weten:
#Functionarissen die verantwoordelijk zijn voor het stellen van beveiligingskaders en voor de controle op en naleving hiervan zoals Beveiligingscoördinatoren, Chief Information Security Officers (CISO’s) en Security managers.
#Functionarissen die betrokken zijn bij het ontwerp, de implementatie en het beheer van middleware.
#Controlerende instanties (IT-auditors) die met dit referentiekader een objectieve ICT-beveiligingscontrole uitvoeren.
==Scope en begrenzing middleware==
De scope van BIO Thema-uitwerking Middleware omvat objecten die relevant zijn voor de beveiliging van middlewarefuncties en de opslag van gestructureerde data.
Elke BIO Thema-uitwerking heeft een relatie met aanpalende documenten zoals genoemd in dit document.
In elke BIO Thema-uitwerking wordt een set beveiligingsobjecten, controls en maatregelen uit de BIO bijeengebracht. De objecten vormen de inhoudelijke onderwerpen van het thema. Eventueel ontbrekende objecten, die blijken uit de toepassing van de SIVA-methodiek (Structuur, Inhoud, Vorm en Analysevolgorde), worden beschreven met andere best practices.
De begrenzing van dit document is in afbeelding 3 weergegeven.
[[Afbeelding:MDW_Afbeelding_3.png|thumb|none|500px|Relatie BIO Thema-uitwerking met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]
===Algemene en specifieke objecten===
Voor middleware zijn een aantal algemene en specifieke objecten uitgewerkt die van belang zijn voor de beveiliging van de middlewarefunctionaliteit. De algemene objecten, zie afbeelding 4 zijn globaal voor alle IT-systemen van toepassing en komen in de meeste BIO Thema-uitwerkingen voor.
[[Afbeelding:MDW_Afbeelding_4.png|thumb|none|500px|Algemene en specifieke objecten van middleware|alt=”Algemene en specifieke objecten van middleware”]]
In deze thema-uitwerking zijn deze algemene objecten toegespitst op middleware. De specifieke objecten voor opslag van data en voor integratieservices zijn apart uitgewerkt in hoofdstuk 3 Uitvoeringsdomein. Enkele specifieke objecten staan in de onderste helft van afbeelding 4. Voor de objecten uit het uitvoeringsdomein, zijn zoals bij elke thema-uitwerking, de nodige beleids- en beheersingsobjecten geformuleerd.
===Scope en begrenzing middleware===
Deze BIO Thema-uitwerking beperkt zich tot gestructureerde data en data die gedurende langere tijd wordt opgeslagen op een bepaald medium. De beveiliging van ongestructureerde data valt buiten de scope van deze thema-uitwerking.
Gestructureerde data zijn gegevens die in databases worden opgeslagen. Voorbeelden van datakenmerken zijn: leeftijd, geslacht en geboorteplaats. Deze gegevens zijn doorgaans gelabeld en eenvoudig toegankelijk.
Ongestructureerde data is zeer uiteenlopend van structuur en is daarom moeilijk te classificeren. Voorbeelden van datatypen zijn: Social media, Facebook, Twitter, LinkedIn, interne bedrijfsdata zoals e-mails, tekstdocumenten, foto’s en video’s en data voor Internet of Things. Adequate beveiliging van ongestructureerde data vereist per datatype een specifieke aanpak.
===Context middleware===
Elke organisatie heeft te maken met zijn eigen unieke omgeving (context). De ene organisatie werkt voornamelijk met uitbesteding van IT in clouddiensten, de andere heeft een eigen rekencentrum en ontwikkelt zelf de nodige maatregelen. Ondanks de verschillen in context blijven gebruikersorganisaties altijd eindverantwoordelijk voor wat er met hun data gebeurt en dus ook verantwoordelijk voor de eisen die gesteld worden aan de beveiliging van die data. In deze BIO Thema-uitwerking richten de eisen voor middleware (hierna controls genoemd) zich op een context, zoals die geschetst is in afbeelding 5.
[[Afbeelding:MDW_Afbeelding_5.png|thumb|none|500px|Data-uitwisseling tussen informatiesystemen|alt=”Data-uitwisseling tussen informatiesystemen”]]
Vanuit deze min of meer universele opzet voor middleware zijn relevante controls en maatregelen uit de BIO en andere best practices te duiden, zie hoofdstuk 2 Beleidsdomein, 3 Uitvoeringsdomein en 4 Control-domein. In de geschetste opzet uit afbeelding 5 vindt naast een uitwisseling van data tussen applicaties en serverplatform, tevens uitwisseling van data plaats via berichtenverkeer tussen onderling gekoppelde informatiesystemen.
==Systeemfuncties van middleware==
Middleware bestaat grotendeels (en soms geheel) uit software. Voor de interne systeemfuncties van middleware, zoals aangegeven in de blauwe vlakken van afbeelding 6, gelden de beveiligingseisen die horen bij softwareontwikkelprocessen. Zie daarvoor de BIO Thema-uitwerking Applicatieontwikkeling en de OWASP-literatuur (Open Web Application Security Project) op internet. In deze BIO Thema-uitwerking zijn objecten uitgewerkt voor de functionaliteiten (links) en de integratieservices (rechts) uit afbeelding 6.
[[Afbeelding:MDW_Afbeelding_6.png|thumb|none|500px|Interne systeemfuncties van middleware|alt=”Interne systeemfuncties van middleware”]]
===Schematische weergave Middleware-objecten===
(...) De essentiële objecten van Middleware worden in afbeelding '''XX''' weergegeven. De elementen worden toegelicht met het beleids-, uitvoerings- en control-domein.
===Beleidsdomein===
Binnen het beleidsdomein bevat Middleware randvoorwaarden. Objecten die als randvoorwaarden gelden voor Middleware zijn: beleid, wet- en regelgeving, contracten en organisatiestructuur e.d.
(...)
===Uitvoeringsdomein===
<volgt nog>
===Control-domein===
<volgt nog>
===De organisatie van Middleware-objecten===
De geïdentificeerde Middleware-objecten zijn met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenissen van de lagen zijn:<br><br>
'''Beleidsdomein'''<br>
Binnen dit domein bevinden zich conditionele elementen over Middleware. Hier zijn eisen opgenomen over (...).
'''Uitvoeringsdomein'''<br>
Binnen dit domein bevinden zich:
* elementen die gerelateerd zijn aan operationele activiteiten van Middleware;
* elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
* elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
'''Control-domein'''<br>
Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot Middleware en of deze wel naar wens verlopen.
<br><br>
Objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. ISOR staat voor Information Security Object Repository. Enkele van de objecten zijn uniek voor de BIO. Objecten die aanvullend aan de ISO 27002 voor de beveiliging van een bepaald toepassingsgebied nodig geacht worden, zijn met de SIVA-methodiek bepaald. Deze relateren zo mogelijk aan standaarden als de SoGP. +
Om verschillende redenen kan het nodig zijn om meerdere API gateways in te zetten, bijvoorbeeld in verband met complexiteit, performance, latency of het single-point-of-failure-effect, waarbij één defecte gateway een heel bedrijfsproces plat kan leggen.
Afbeelding 16 geeft een voorbeeld van een implementatie, waarbij de API gateways zijn gespecialiseerd en geoptimaliseerd voor een bepaald type berichtenverkeer en voor een specifieke client. De gateways zijn in deze toepassing evenals in de enkelvoudige toepassing van afbeelding 16, op het grensvlak van intern naar extern van organisatie A gepositioneerd (in de DMZ). Om te voorkomen dat bij uitval een hele afnemerketen wordt uitgeschakeld, wordt load-balancing toegepast.
[[Afbeelding:MDW_Afbeelding_16.png|thumb|none|500px|Gespecialiseerde toepassing van API gateways met load-balancing|alt=”Gespecialiseerde toepassing van API gateways met load-balancing”]]
'''Beveiligingsobjecten'''
Relevante objecten voor de implementatie van API gateways, zowel voor de enkelvoudige als de gespecialiseerde toepassing, zijn globaal hetzelfde als de objecten gericht op separate integratiefuncties van het hiervoor besproken integratieplatform. Evenals het geval is voor een apart integratieplatform, kan een API-gateway zowel in soft- als in hardware of als clouddienst zijn uitgevoerd. Ook hierbij geldt dat dergelijke producten intrinsiek veilig moeten zijn ontworpen en in die hoedanigheid als module of als dienst worden geleverd aan organisaties.
NB: De in afbeelding 16 geschetste specialisatie is slechts een voorbeeld. In plaats van gespecialiseerde API-gateways kunnen gateways ook als cluster samenwerken om een hoge beschikbaarheid te garanderen. De overige objecten uit deze thema-uitwerking zijn ook in deze opstelling van toepassing.
Kenmerken zijn:
*Communicatie van gelijkwaardige functies in één richting; van applicatie/service naar de client
*Functionaliteit en performance afgestemd op het type client die de gateway bedient
In deze implementatie zijn alle applicaties van organisatie A voorzien van eigen integratiefuncties. De verschillende applicaties verzorgen vanuit de bedrijfsprocessen P, Q en R zelf het berichtenverkeer, zie afbeelding 11. Voordeel daarvan is de onafhankelijkheid van de platformen voor wat betreft performance en beschikbaarheid. Ook is er geen sprake van een ‘single point of failure’-effect in een centraal platform. Nadelen zijn de dubbeling van het beheer, de beheersingskosten voor de instandhouding van meervoudige functies met hetzelfde doel en de extra kosten voor pentesten etc.
<br>
<br>
Een tweede belangrijk nadeel van deze opstelling is dat alles point-to-point met elkaar verbonden wordt. Als proces Q verhuist, dan moeten P en R meebewegen. Bij het gebruik van centraal opgestelde integratietechnologie hebben processen P en R geen notie van wat er met Q gebeurt.
<br>
<br>
Kenmerken zijn:
* Koppeling met andere platformen is onderdeel van applicatieverantwoordelijkheid
* Meervoudige toepassing van dezelfde functionaliteit
* Geen specialisatievoordeel
<br>
'''Beveiligingsobjecten'''
<br>
Omdat de integratiefuncties hier integraal onderdeel zijn van de applicatie zelf, blijven relevante beveiligingsobjecten voor deze implementatie beperkt tot de beveiliging van berichtenverkeer, wat afhankelijk van de classificatie van de data op verschillende manieren opgelost wordt; van een simpele SSL/TLS-koppeling tot een meer geavanceerde koppeling op basis van Message Level Security.
<br>
Applicatieontwikkelaars dienen over de benodigde specialistische kennis beschikken om deze maatregelen in te kunnen bouwen in hun applicaties.
<br>
[[Afbeelding:MDW_Afbeelding_11.png|thumb|none|500px|Applicaties met hun eigen integratiefuncties|alt=”Applicaties met hun eigen integratiefuncties”]] +
In de wereld, waarbij in toenemende mate functionaliteit wordt aangeboden via webservices voor allerlei verschillende clients (gebruikersapparaten) en de situatie, waarin delen van applicaties worden vervangen door zogenaamde microservices, spelen API’s een steeds belangrijkere rol. De huidige uitwisseling van data via internet zou volgens het Akamai State of the Internet Security Report 2019, voor meer dan 80% via API’s geregeld worden. De centrale vraag daarbij is: ‘Hoe kunnen verschillende soorten clients toegang krijgen tot de functionaliteit die door de microservices (of applicaties) geleverd worden?’.
'''Problematiek'''
De granulariteit van API's die door microservices geleverd wordt, wijkt vaak af van wat een bepaalde client nodig heeft. Microservices bieden doorgaans fijnmazige API's, wat betekent dat clients met meerdere services moeten communiceren. Als een lezer van een webpagina bijvoorbeeld de details van een product nodig heeft, dan deze moet zijn client-gegevens ophalen bij een reeks van services. Verder hebben verschillende clients voor dezelfde pagina verschillende gegevens nodig om pagina’s goed weer te geven op een display. Een desktopversie van een productdetailpagina is bijvoorbeeld uitgebreider dan de mobiele versie. Verder verschillen de netwerkprestaties per client. Ook de netwerkprestaties kunnen per client sterk verschillen. Webapplicaties aan de serverzijde kunnen daardoor meer verzoeken doen aan backend-services zonder de gebruikerservaring te beïnvloeden dan een mobiele client.
'''Oplossing'''
Implementeer een of meerdere API-gateway(s) die het enige toegangspunt vormen voor alle clients, zoals afbeelding 15 of één gateway per specifieke client, zie afbeelding 15. De API-gateway verwerkt verzoeken op twee manieren:
#Sommige verzoeken worden een-op-een geproxyd of gerouteerd naar de juiste service.
#De gateway behandelt andere verzoeken door deze uit te waaien naar meerdere achterliggende services.
Proces A maakt veilig gebruik van de geboden functionaliteit.
Kenmerken zijn:
*Communicatie van gelijkwaardige functies in één richting: van applicatie/service naar de client
*Functionaliteit en performance van gateway afgestemd op de gemiddelde client
[[Afbeelding:MDW_Afbeelding_15.png|thumb|none|500px|Implementatie met één API gateway|alt=”Implementatie met één API gateway”]]
Deze implementatie is geschikt om een aantal bedrijfsprocessen van twee organisaties met elkaar te verbinden. Het betreft dezelfde opzet van de gedelegeerde integratiefuncties van use case 3, maar nu in de infrastructuur van beide organisaties uitgevoerd.
Deze implementatie is als standaard context voor middleware geschetst in paragraaf 1.5 Systeemfuncties van middleware.
Kenmerken zijn:
*Tweeweg-communicatie met gelijkwaardige functies
*Integratie is gedelegeerde applicatieverantwoordelijkheid
*Meervoudig gebruik van enkelvoudige functionaliteit
*Specialisatievoordeel
'''Beveiligingsobjecten'''
Relevante objecten voor deze implementatie zijn dezelfde als die van use case 1 en use case 3, gericht op separate integratiefuncties van het integratieplatform.
[[Afbeelding:MDW_Afbeelding_13.png|thumb|none|500px|End-to-end-integratie met gedelegeerde integratiefuncties|alt=”End-to-end-integratie met gedelegeerde integratiefuncties”]] +
Hoewel API-gateways tegenwoordig steeds meer worden toegepast, vormt de Enterprise Service Bus een Service Oriënted Architecture (SOA)-oplossing, die ontworpen is voor een breed scala aan integratiefuncties. De ESB wordt onder andere gebruikt wordt voor routering, berichttransformatie en protocol-bridging. Dit zijn overigens vergelijkbare integratiefuncties als die besproken zijn in use cases 1 tot en met 4, alleen nu niet bedoeld voor interactie tussen bedrijfsapplicaties, maar voor de interactie tussen applicatieservices.
Services, als onderdeel van SOA, zijn gespecialiseerde softwarecomponenten, bedoeld voor uitvoering van enkele bedrijfsfuncties, zoals informatie verzamelen, uitvoeren van specifieke bewerkingen etc.
Een ESB is een middel voor service-to-service-communicatie. Met deze techniek hoeven services niet individueel gekoppeld te worden voor de communicatie, waardoor het aantal koppelingen drastisch wordt verminderd. De ESB biedt op basis van apart in te richten beveiligingsservices, tevens een aantal beveiligingsfuncties en protocollen voor berichtenverkeer, die gegarandeerd integere communicatie tussen de verschillende diensten mogelijk maken.
Kenmerken zijn:
*Tweewegcommunicatie met gelijkwaardige applicatie/servicefuncties
*Applicatiefunctionaliteit is verdeeld over een aantal gespecialiseerde services
*Integratie is gedelegeerde serviceverantwoordelijkheid van de bus
*Meervoudig gebruik van enkelvoudige functionaliteit
*Specialisatievoordeel
'''Beveiligingsobjecten'''
SOA-services en een ESB bevatten zelf nauwelijks beveiligingsfuncties, hoewel de meeste ESB’s wel TLS en MLS ondersteunen. De meeste beveiligingsfuncties worden door speciale securityservices geleverd. Voor de communicatie met grote informatiesystemen of partnerorganisaties worden integere berichtenprotocollen gebruikt. Voor de veilige communicatie met specifieke clients, zoals mobiele devices, desktop apparaten of webservices kunnen zogenaamde API-gateways op de bus worden aangesloten. De overige objecten uit dit thema zijn hier ook van toepassing.
[[Afbeelding:MDW_Afbeelding_14.png|thumb|none|500px|Enterprise Service Bus|alt=”Enterprise Service Bus”]]
In deze implementatie ‘delegeren’ de applicaties van organisatie A de integratiefuncties aan een centraal integratieplatform. Het berichtenverkeer vanuit de bedrijfsprocessen P, Q en R wordt daarbij centraal door het integratieplatform domein A verzorgd, wat gespecialiseerde functies bevat waarmee een scala aan applicaties kan worden bediend.
Kenmerken zijn:
*Integratie is gedelegeerde applicatieverantwoordelijkheid
*Meervoudig gebruik van enkelvoudige functionaliteit
*Specialisatievoordeel
<br>
'''Beveiligingsobjecten'''
<br>
Relevante objecten voor deze implementatie zijn dezelfde als die van use case 1, gericht op separate integratiefuncties van het integratieplatform. Ook de overige beveiligingsobjecten uit dit thema zijn van toepassing, maar zijn voor de omvang daarvan niet allemaal geschetst in de onderstaande afbeelding.
<br>
[[Afbeelding:MDW_Afbeelding_12.png|thumb|none|500px|Applicaties delegeren de integratiefunctie|alt=”Applicaties delegeren de integratiefunctie”]] +
'''Integratieservices'''
<br>
In deze implementatie worden twee bijna gelijkwaardige applicatie-eindpunten binnen een rekencentrum met elkaar verbonden voor berichtenverkeer. Dit kunnen overigens ook volstrekt verschillende informatiesystemen zijn die verschillende formaten van data gebruiken. Het linker bedrijfsproces (rood) kan daarmee communiceren met het rechter bedrijfsproces (blauw), zie applicatie A. In de afbeelding onderaan deze pagina zijn de integratiefuncties (blauw) geschetst in een communicatieketen van applicatie A naar B met daaronder in rode blokken de beveiligingsobjecten.
<br>
<br>
'''Oplossing'''
<br>
Applicatie A stelt een bericht samen en zet die via zijn eindpunt op de lijn. De orkestratiefunctie hakt het bericht in geschikte stukjes en stuurt die in porties achtereenvolgens via het communicatiekanaal naar de router. NB: Orkestratie omvat in de praktijk een vorm van workflow. In onderstaand voorbeeld, met eenvoudige berichtuitwisseling is het voor de volledigheid erbij gezet.
De router zorgt ervoor dat het bericht van A altijd bij de juiste eindpunt terechtkomt. Er kunnen namelijk meerdere systemen achter hangen, zoals onder andere geschetst is in bijlage 4 Use Case End-to-end applicatie-integratie.
De transformator zet het bericht vervolgens om in het gewenste formaat wat het doeleindpunt kan lezen. Daarna wordt het bericht doorgegeven aan applicatie B voor het bedrijfsproces.
De queuing- en caching-functies dienen voor tijdelijke buffering zodat alle elementen in de keten optimaal benut kunnen worden voor een optimale performance en een minimale doorlooptijd. Caching is een taak van het integratieplatform. Queuing kan ook onderdeel zijn van applicatie A of B.
De elementen van de integratieketen dienen te zijn opgebouwd onder een regiem van een soft- of hardware-ontwikkelproces, waarin securitymaatregelen een integraal onderdeel vormen van de systeemarchitectuur en het ontwerp van A, B, van beide, of als afzonderlijke infrastructuur. Het systeembeheer van de integratiefuncties vereisen bijzondere gebruikersrechten. In de volgende bijlagen zijn enkele implementaties van integratieservices geschetst.
[[Afbeelding:MDW_Afbeelding_10.png|thumb|none|500px|Integratiefuncties en beveiligingsobjecten|alt=”Integratiefuncties en beveiligingsobjecten”]]
Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in drie domein: [[ISOR:BIO Thema Serverplatform Beleid|beleid]], [[ISOR:BIO Thema Serverplatform Uitvoering|uitvoering]] en [[ISOR:BIO Thema Serverplatform Control|control]].
De vragen die hierbij een rol spelen, zijn:
# Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Onderstaande afbeelding geeft de positionering weer van servers binnen de lagenstructuur binnen het uitvoeringsdomein. Die functieblokken bevatten op hun beurt beveiligingsmaatregelen, die vanuit de normatiek geduid worden als beveiligingsobjecten.
[[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|500px|Gelaagdheid serverplatform met enkele beveiligingsobjecten|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten”]]
==Vaststellen beveiligingsobjecten voor serverplatform==
De afbeeldingen uit het [[ISOR:BIO Thema Serverplatform Beleid|Beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|Control-domein]] geven een overzicht van alle relevante beveiligingsobjecten voor het thema Serverplatform, afkomstig uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] die gebaseerd is op de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. De BIO volgt dezelfde hoofdstukindeling en controlteksten.
Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: [[The Standard of Good Practice for Information Security 2018|SoGP]], [[NIST (National Institute of Standards and Technology)|NIST]] en [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen]] van het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]].
==Globale relaties tussen geïdentificeerde beveiligingsobjecten==
Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties voor het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: beleid, uitvoering en control. Deze objecten worden in [[ISOR:BIO Thema Serverplatform Beleid|Beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|Control-domein]] verder toegelicht en uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders.
===Beleiddomein===
Dit domein geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moet voldoen.
===Uitvoeringsdomein===
De keuze van objecten uit de ISO 27002 voor het thema Serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan serverplatform:
* Initiële installatie, De initiële installatie wordt uitgevoerd met richtlijnen en procedures, bijvoorbeeld: bedieningsprocedure (ISO 27002-terminologie).
* Beveiligings- en beheerfuncties, De beveiligingsfunctie is gerelateerd aan protectiemechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfunctie is gerelateerd aan enkele processen, zoals: server-onderhoud en beheer van kwetsbaarheden.
* Feature-configuratie, Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om het beveiligingsniveau te kunnen garanderen.
* Structuur en ontwerp, De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerpdocument worden vastgelegd.
===Control-domein===
Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.
.
<table class="wikitable">
<tr>
<th class="tg-s268">ID</th>
<th >Relevante beveiligingsobjecten</th>
<th >Omschrijving</th>
</tr>
<tr>
<td >B.01</td>
<td >Beleid voor(beveiligd) onderhouden van serverplatforms</td>
<td >Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.</td>
</tr>
<tr>
<td >B.02</td>
<td >Principes serverplatform beveiliging</td>
<td >Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".</td>
</tr>
<tr>
<td >B.03</td>
<td >Serverplatform Architectuur</td>
<td >Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.</td>
</tr>
<tr>
<td >U.01</td>
<td >Bedieningsprocedure</td>
<td >Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.</td>
</tr>
<tr>
<td >U.02</td>
<td >Standaarden voor configuratie servers</td>
<td >Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.</td>
</tr>
<tr>
<td >U.03</td>
<td >Malwareprotectie</td>
<td >Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.</td>
</tr>
<tr>
<td >U.04</td>
<td >Beheer van server kwetsbaarheden</td>
<td >Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.</td>
</tr>
<tr>
<td >U.05</td>
<td >Patch-management</td>
<td >Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.</td>
</tr>
<tr>
<td >U.06</td>
<td >Beheer op afstand</td>
<td >Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.</td>
</tr>
<tr>
<td >U.07</td>
<td >Onderhoud apparatuur</td>
<td >Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.</td>
</tr>
<tr>
<td >U.08</td>
<td >Veilig verwijderen of hergebruiken van apparatuur</td>
<td >Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.</td>
</tr>
<tr>
<td >U.09</td>
<td >Hardenen van servers</td>
<td >Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.</td>
</tr>
<tr>
<td >U.10</td>
<td >Serverconfiguratie</td>
<td >Het conform de vereisten instellen van de verschillende features van serverplatforms.</td>
</tr>
<tr>
<td >U.11</td>
<td >Virtueel serverplatform</td>
<td >Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.</td>
</tr>
<tr>
<td >U.12</td>
<td >Beperking software installatie</td>
<td >Het stellen van regels voor het installeren op servers of serverplatforms.</td>
</tr>
<tr>
<td >U.13</td>
<td >Kloksynchronisatie</td>
<td >Het gelijkrichten van klokken op verschillende servers.</td>
</tr>
<tr>
<td >U.14</td>
<td >Ontwerpdocumentatie</td>
<td >Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.</td>
</tr>
<tr>
<td >C.01</td>
<td >Evaluatierichtlijnen serverplatforms</td>
<td >Richtlijnen die evaluatie activiteiten van servers ondersteunen.</td>
</tr>
<tr>
<td >C.02</td>
<td >Beoordeling technische serveromgeving</td>
<td >Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.</td>
</tr>
<tr>
<td >C.03</td>
<td >Logbestandenbeheerders</td>
<td >Het vastleggen van activiteiten van beheerders.</td>
</tr>
<tr>
<td >C.04</td>
<td >Registratiegebeurtenissen</td>
<td >Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.</td>
</tr>
<tr>
<td >C.05</td>
<td >Monitorenservers en besturingssystemen</td>
<td >Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.</td>
</tr>
<tr>
<td >C.06</td>
<td >Beheerorganisatieservers en besturingssystemen</td>
<td >De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.</td>
</tr>
<caption align="bottom">Serverplatform, Definiëring/omschrijving van beveiligingsobjecten</caption></table>
Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op de controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], die gebaseerd is op de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002). Er wordt ook gebruik gemaakt van andere best practices zoals: [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice for Information Security (SoGP) 2018]] en van de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].
Dit kader dient evenals andere [[Alle normenkaders|BIO Thema-uitwerkingen]] als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur.
==Opzet BIO Thema-uitwerking==
De BIO Thema-uitwerking Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze BIO Thema-uitwerkingdocument bestaat uit een indeling op basis van [[ISOR:BIO Thema Serverplatform Beleid|Beleid]], [[ISOR:BIO Thema Serverplatform Uitvoering|Uitvoering]] en [[ISOR:BIO Thema Serverplatform Control|Control]] (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd met een (BUC-)lagenstructuur.
Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]:
* scope en begrenzing van het thema ([[BIO Thema Serverplatform/Inleiding#Scope en begrenzing serverplatform|zie Scope en begrenzing serverplatform]]);
* context van het thema ([[BIO Thema Serverplatform/Inleiding#Context serverplatform|zie Context Serverplatform]]);
* beveiligingsobjecten en uitwerking van deze objecten op de BUC-lagen ([[BIO Thema Serverplatform/Objecten serverplatform#Vaststellen beveiligingsobjecten voor serverplatform|zie Vaststellen beveiligingsobjecten voor serverplatform]]);
* globale relaties van de geïdentificeerd beveiligingsobjecten ([[BIO Thema Serverplatform/Objecten serverplatform#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|zie Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]).
==Scope en begrenzing serverplatform==
In deze BIO Thema-uitwerking is de scope van het begrip serverplatform beperkt tot de basisfunctionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: server-hardware, virtualisatietechnologie en besturingssysteem. Organisaties zullen met deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.
De thema-uitwerking beschrijft niet de kenmerken van specifieke typen servers, zoals: bestandserver, applicatieserver, webserver, mailserver of databaseserver.
De objecten voor serverplatform komen direct of indirect uit de BIO of andere best practices. Bijvoorbeeld de vertaling van de BIO-titel Beleid voor beveiligd ontwikkelen (zie [[ISOR:Beleid voor beveiligde inrichting en onderhoud|Beleid voor beveiligde inrichting en onderhoud]]) naar het object voor serverplatforms wordt Beleid voor beveiligde inrichting en onderhoud. De BIO-titel Principes voor engineering van beveiligde systemen wordt het object Inrichtingsprincipes voor serverplatform (zie [[ISOR:Principes voor inrichten van beveiligde servers|Inrichtingsprincipes voor serverplatform]]).
De begrenzing van dit document is in onderstaande afbeelding weergegeven.
[[Bestand:SVP Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|none|500px|Relatie BIO Thema-uitwerking met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]
==Context serverplatform==
Servers zijn computers, die via werkstations (clients), een of meerdere diensten aan eindgebruikers of aan andere computersystemen beschikbaar stellen. Voorbeelden van servers zijn: fileserver, database-server, mailserver, webserver en File Transfer Protocol (FTP)-server. Het kan ook gerelateerd zijn aan software die deze dienst mogelijk maakt: accepteert verzoeken van gebruikers en verwerkt deze. Aan een server hangt een of meerdere clients. Onderstaande afbeelding geeft een globale context van enkele typen servers en hoe ze in relatie staan met beleids- en beheersingsaspecten.
[[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|none|500px|Context van het thema Serverplatform|alt=”Context thema Serverplatform”]]
Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit het internet. Dit type server geeft de relevante gebruikersgegevens door aan een portal-toegangsserver, die op zijn beurt applicatieve diensten vanuit backoffice-servers beschikbaar stelt. De onderste gebruiker in de afbeelding is een medewerker van een vertrouwde partij en zoekt via een semi-vertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er ook sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het besturingssysteem.
Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Softwarepakketten. Het is geënt op controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] die gebaseerd is op [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002). Er is bij de samenstelling van dit thema tevens gebruik gemaakt van andere normenkaders en internationale standaarden zoals [[OWASP Application Security Verification Standard 4.0.2|Application Security Verification Standard (ASVS)]] van [[OWASP (Open Source Foundation for Application Security)|Open Source Foundation for Application Security (OWASP)]], de [[ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen|ICT-Beveiligingsrichtlijnen voor Webapplicaties]] van het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]], [[SIG Evaluation Criteria Security - Guidance for producers|SIG Evaluation Criteria Security: Guidance for producers]] en [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]]. Voor het concretiseren van de controls uit de BIO zijn deze eisen tevens gerelateerd aan normen uit de [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]]-[[Grip op Secure Software Development|publicatie Secure Software Development (SSD)]]. Hoewel SSD zich specifiek richt op softwareontwikkeling zijn bepaalde objecten en hieraan gerelateerde controls ook van toepassing op de aanschaf van standaard softwarepakketten.
Het landschap van softwarepakketten is zeer divers qua functionaliteit en schaalgrootte. Daarom is het onmogelijk om daarvoor één dekkende lijst van beveiligingseisen op te stellen. Wel is aan te geven welke onderwerpen tijdens het verwervingsproces van belang zijn en waar beveiligingseisen uit afgeleid kunnen worden. Daarom wordt specifiek gericht op objecten die bij het verwerven van belang zijn. Om de juiste objecten te identificeren, wordt uitgegaan van de fases van het verwervingsproces. Hierbij wordt gericht op de fases plannen en selecteren waarin een business case en het stellen van Programma van Eisen (PvE) een onderdeel zijn. Binnen de business case wordt met name aandacht besteed aan objecten gerelateerd aan informatieveiligheid en privacybescherming.
In deze thema-uitwerking wordt een softwarepakket beschouwd als een bestaand softwarepakket dat op de markt is gebracht door een leverancier en kan in verschillende organisaties worden toegepast. Het betreft standaard softwarepakketten die gebaseerd zijn op best practices binnen een bepaalde sector en op een verzameling van op elkaar afgestemde computerprogramma’s, die bepaalde bedrijfsfunctionaliteiten bieden. Voorbeelden van softwarepakketten zijn Enterprise Resource Planning (ERP)-pakket en Office-suites.
Softwarepakketten kunnen na verwerving in een eigen rekencentrum geïnstalleerd worden, maar ook afgenomen worden als een standaard clouddienst of als een hybride vorm hiervan. Dat wil zeggen: in eigen rekencentrum en in de cloud. Web-gebaseerde toepassingen kunnen ook op een lokale server draaien.
==Levenscyclus softwarepakket==
De [[NEN-ISO/IEC 27034-5:2017 (Protocols and application security controls data structure)|ISO 27034-5 ‘Protocols and application security controls data structure’]] uit 2017 beschrijft een referentiemodel, waarin de levenscyclus van software is gedefinieerd, vanaf de voorbereiding via de verwerving tot en met de uitfasering van het product. Onderstaande afbeelding is daarvan afgeleid en wordt gebruikt bij de uitleg van beveiligingseisen.
[[Bestand:SWP Levenscyclus van een softwarepakket.png|thumb|500px|none|alt=”Dit schema geeft de fases van een softwarepakket aan, waarbij implementeren en gebruiken en onderhouden buiten scope is”|Levenscyclus softwarepakket]]
==Voorbereiding vanuit klantorganisatie==
Voordat de werving en selectie van een softwarepakket start, worden de onderstaande stappen doorlopen, waarmee belangrijke vraagstukken worden ingevuld. De output van deze stappen maakt onderbouwing van keuzes mogelijk en maakt deze transparant en traceerbaar voor bestuurders en de inhoudelijke functies in zowel de business- als de informatievoorzieningsketen.
===Stap 1. Inventariseren===
De uitgangssituatie wordt in kaart gebracht, zowel van de organisatie als de techniek. Onderzocht wordt welke functionele behoeften er precies bestaan binnen de klantorganisatie (hierna genoemd klant) en welke afhankelijkheden verwacht worden tussen de al beschikbare bedrijfsfuncties en de beoogde nieuwe functionaliteit.
===Stap 2. Onderbouwen===
Een business case omschrijft de noodzaak voor een nieuw softwarepakket en de verwachte resultaten en voordelen daarvan. Binnen een business case worden ook de nieuwe IT-functionaliteiten vastgesteld waarin de kosten-baten worden geanalyseerd.
===Stap 2a. en 2b. Contextanalyse en scenario-ontwikkeling===
Na of tijdens de uitwerking van de business case wordt met een risicoanalyse (zie [[NEN-ISO/IEC 27005:2018 (Information security risk management)|ISO 27005 ‘Information security risk management’]] uit 2018) de in- en externe context vastgesteld. Dus in welke omgeving moet het pakket kunnen functioneren? Vanuit de business case en contextanalyse worden doelscenario’s ter besluitvorming uitgewerkt. Enkele vraagstukken daarbij zijn hieronder belicht.
'''Cloud of on-premise''' Voor standaard softwarepakketten wordt door leveranciers steeds meer overgegaan naar clouddiensten. Sommige software is zelfs alleen nog als clouddienst af te nemen. Business drivers als kosten/baten, ‘time-to-market’ en ‘wendbaarheid’ kunnen functionaliteit, geleverd als clouddienst heel aantrekkelijk maken. Organisaties die zijn overgestapt naar clouddiensten hebben ervaren dat die keuze een grote impact heeft op de bedrijfsvoering zoals men die gewend was met een eigen rekencentrum. Die impact geldt zowel voor de afnemende gebruikersorganisatie als voor de vorm van IT-dienstverlening.
'''Inpasbaarheid''' Er bestaat vrijwel altijd een bestaande IT-omgeving waarin het softwarepakket moet passen. Dat geldt tot op zekere hoogte ook voor clouddiensten. Dit zijn technische integratievraagstukken. Daarom is het van belang om voldoende IT-deskundigheid in te zetten bij een context- en risicoanalyse en bij het opstellen van een globaal ontwerp, Programma van Eisen (PvE) en de vaststelling van de technische randvoorwaarden. Raadpleeg daarbij de actuele vakliteratuur voor de te nemen technische maatregelen.
'''Risico’s''' De uit te voeren risicoanalyses zijn onder andere gericht op de vereiste bedrijfscontinuïteit, informatieveiligheid en privacyaspecten van de voorgenomen nieuwe bedrijfsfunctionaliteit. Daarvoor wordt onder andere een Business Impact Assessment (BIA), een risicoanalyse en indien nodig een Data Protection Impact Assessment (DPIA) uitgevoerd. Mede met de uitkomsten van deze analyses kan het meest geschikte implementatiescenario worden gekozen.
'''Continuïteit''' Continuïteitsvraagstukken zijn: wat is de maximaal toelaatbare uitvalduur van het softwarepakket en wat is het maximaal toelaatbare dataverlies? Beide factoren kunnen cruciaal zijn voor het voortbestaan van een bedrijf en maken onderdeel uit van Bedrijfscontinuïteitsmanagement (BCM).
'''Classificatie''' De classificatie van de data die door het pakket verwerkt zal worden, vormt eveneens een belangrijke input, zowel voor de BIA als voor de DPIA, maar ook voor beveiligingseisen gericht op de transport en opslag van gegevens.
====Stap 3. en 4. Ontwerpen en conditioneren====
Als de scenariokeuze is gemaakt, wordt een functioneel ontwerp opgesteld. Hierin worden de bedrijfsfuncties uitgewerkt tot een PvE. Dit PvE dient als basis voor de selectie van IT-diensten zoals een softwarepakket.
Bij het vaststellen van een PvE wordt aandacht besteed aan zowel bedrijfsfuncties als aan informatieveiligheid en privacybescherming, waarvoor een set van functionele en non-functionele eisen wordt opgesteld.
In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd en de hieraan gerelateerde BIO-controls gedefinieerd die voor het ontwerp van bedrijfsfuncties en vanuit de verwervingsoptiek noodzakelijk kunnen zijn. Het gaat hier zowel om de organisatie als de techniek.
De objecten zijn conform de standaard opzet van BIO Thema-uitwerkingen uitgewerkt in twee onderdelen: structuur en objecten. De structuur van elk thema is een indeling van objecten op basis van het beleids-, uitvoerings- en control-domein. De objecten representeren de inhoudelijke informatiebeveiligingsonderwerpen, die bij voorkeur uit de BIO-/ISO 27002-controls en -maatregelen zijn geadopteerd. Zoals bij de [[BIO Thema Softwarepakketten - Inleiding#Inleiding|inleiding]] is aangegeven, zijn sommige controls voor concretisering gerelateerd aan andere baselines zoals SSD-controls en -maatregelen.
==Scope en begrenzing softwarepakketten==
Deze BIO Thema-uitwerking is voornamelijk gericht op conditionele, beveiligings- en beheersingsaspecten en generieke beveiligingseisen die gerelateerd zijn aan de verwerving van softwarepakketten. Buiten scope van deze thema-uitwerking vallen:
#operationele implementatie en configuratie van het verworven softwarepakket;
#activiteiten die specifiek gaan over de infrastructuur van externe hosting en generieke clouddiensten; zie daarvoor de BIO Thema-uitwerkingen Clouddiensten, Serverplatform en Communicatievoorzieningen.
#specifieke gebruikers- en businesseisen omdat deze eisen organisatieafhankelijk zijn.
# applicatieontwikkelingseisen, zie daarvoor de BIO Thema-uitwerking Applicatieontwikkeling.
De begrenzing van dit document is in onderstaande afbeelding weergegeven.
[[Bestand:SWP Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|500px|none|alt=”Dit schema geeft aan hoe de relatie is tussen deze en andere BIO Thema-uitwerkingen, documenten op normatief niveau en de ISOR waarin de thema's worden ontsloten.”|Relatie BIO Thema-uitwerkingen met aanpalende documenten]]
De relatie tussen de verschillende BIO Thema-uitwerkingen is in onderstaande afbeelding weergegeven.
[[Bestand:SWP Postionering thema Softwarepakketten in relatie tot andere thema's.png|thumb|500px|none|alt=”Dit schema geeft aan hoe de relatie is tussen deze en alle andere BIO Thema-uitwerkingen.”|Postitionering thema Softwarepakketten in relatie tot andere thema-uitwerkingen]]
==Relaties tussen beveiligingsobjecten==
De objecten in het beleidsdomein, sturen de objecten in het uitvoeringsdomein aan en worden uiteindelijk getoetst via beheersingsobjecten of het beleid in de uitvoering wordt gehanteerd, zie onderstaande afbeelding. De BIO Thema-uitwerking Softwarepakketten omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen, registraties etc. in de vorm van objecten voor het betrouwbaar functioneren van softwarepakketten. De essentiële objecten voor softwarepakketten, die onder andere betrekking hebben op gebruikers, functionaliteiten en centrale database (zie onderstaande afbeelding) zijn in het [[Softwarepakketten Beleid|beleidsdomein]], [[Softwarepakketten Uitvoering|uitvoeringsdomein]] en [[Softwarepakketten Control|control-domein]] uitgewerkt.
[[Bestand:SWP Softwarepakketten in het beleids-, uitvoerings- en control-domein.png|thumb|500px|none|alt=”Dit schema geeft de relatie tussen deze en alle andere BIO Thema-uitwerkingen weer.”|Softwarepakketten in het beleids-, uitvoerings- en control-domein]]
===Beleidsdomein===
Dit zijn de randvoorwaarden, conditionele aspecten en constraints die bij de verwerving van softwarepakketten in acht moeten worden genomen.
===Uitvoeringsdomein===
De control-keuze uit de BIO voor deze BIO Thema-uitwerking vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan software:
* Beveiligings- en beheerfuncties, Het softwarepakket beschikt over beveiligingsfuncties en beschermingsmechanismen die de beveiliging van softwarepakketten moeten bevorderen, zoals virusprotectie en mogelijkheden om tekortkomingen in de beveiliging achteraf te kunnen corrigeren, zoals patchmanagement.
* Configuratie van features, Het softwarepakket beschikt over features om een adequaat niveau van beveiliging te kunnen bereiken.
* Structuur en ontwerp, De samenhang tussen de modules binnen het softwarepakket, de geboden koppelingsmogelijkheden met een externe applicatie en de faciliteiten voor import en export zijn inzichtelijk gemaakt met een softwarearchitectuur.
===Control-domein===
Voor het evalueren van de effectiviteit van de genomen controls en maatregelen uit het beleids- en uitvoeringsdomein zijn in dit domein de daarvoor benodigde objecten, controls en maatregelen bepaald.
Deze BIO Thema-uitwerking is door het [[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]] opgesteld om overheidsorganisaties een beeld te geven van de meest relevante onderwerpen, met name voor de verwerving van standaard software. Daarmee wordt bestaande software bedoeld, die als product op de markt is gebracht om binnen een groot aantal organisaties te kunnen worden gebruikt. Voor algemene informatie over diverse soorten softwarepakketten zie: [https://www.softwarepakketten.nl/ www.softwarepaketten.nl] <sup class="reference smartref" id="cite_ref-Softwarepaketten.nl_1-0">[[BIO Thema Softwarepakketten - Voorwoord en motivatie#cite_note-Softwarepaketten.nl-1|1]]</sup>.
De belangrijkste aanleiding voor het opstellen van deze BIO Thema-uitwerking is dat de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] de overheden weinig concrete handvatten biedt voor het verwerven van standaard softwarepakketten. Daarnaast is er de visie dat de complexiteit van de IT verschuift van infrastructuur naar applicaties. Daarom behandelt deze thema-uitwerking in samenhang de beveiligingseisen voor de verwerving van softwarepakketten.
Het kiezen van een softwarepakket blijkt in de praktijk vooral een integratievraagstuk. Hoe past de technologie en het gebruik van een softwarepakket (of dienst) veilig binnen de bestaande bedrijfsvoering? Dit is vooral een taak van de klantorganisatie. De verwervingseisen voor een softwarepakket zijn daarom geënt op zowel de noodzakelijke bedrijfs- en beveiligingsfunctionaliteiten als integratie of koppelingsmogelijkheden. +
Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.
De vragen die hierbij een rol hebben gespeeld zijn:
# Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.
[[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|600px|none|alt=” Schematische weergave componenten toegangsbeveiliging in drielagenstructuur”|Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur]]
==Globale relaties tussen geïdentificeerde beveiligingsobjecten==
De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is ingedeeld met de hoofdstukindeling van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.
Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen.
===Beleidsdomein===
Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.
===Uitvoeringsdomein===
Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:
*Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:
** Een gebruiker heeft een rol.
** Met deze rol wordt zijn profiel bepaald.
** Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren.
* ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.
*Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel).
===Control-domein===
Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.
De domeinindeling is verder uitgewerkt in de pagina [[ISOR:BIO Thema Toegangsbeveiliging Control|Control-domein]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.
BIO Thema-uitwerking Toegangsbeveiliging geeft overheidsorganisaties een beeld van de meest relevante onderwerpen die een rol spelen bij het inrichten en beveiligen van toegangsvoorzieningen. Dit document is geënt op controls uit best practices zoals: [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-EN-ISO/IEC 27001:2017]] (hierna genoemd ISO 27001) en [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002), [[The Standard of Good Practice for Information Security 2018|the Standard of Good Practice (SoGP) 2018]] en de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].
==Opzet BIO Thema-uitwerking==
In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd die een rol spelen bij toegangsbeveiliging. De objecten zijn ingedeeld in de domeinen Beleid, Uitvoering en Control (BUC), en daarbinnen naar een viertal invalshoeken. Deze objecten vormen de verschillende inhoudelijke onderwerpen van toegangsbeveiliging. Ze zijn in het document verder uitgewerkt naar controls en onderliggende maatregelen.
Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]:
# Scope en begrenzing van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Scope en begrenzing van toegangsbeveiliging|Scope en begrenzing van toegangsbeveiliging]]);
# Context en globale structuur van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Context en globale structuur toegangsbeveiliging|Context en globale structuur toegangsbeveiliging]]);
# Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie [[BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]);
==Scope en begrenzing toegangsbeveiliging==
De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers.
De uitwerking van fysieke beveiliging is in deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra).
Specifieke apparaat-gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken vallen buiten de scope van deze thema-uitwerking.
De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven.
[[Bestand:TBV Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|500px|none|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”|Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten]]
==Context en globale structuur toegangsbeveiliging==
Informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van derden. Deze informatiesystemen moeten worden beveiligd en beheerst om het risico van inbreuk, misbruik en (data)diefstal te mitigeren. Toegangsbeveiliging speelt hierbij een cruciale rol. Toegangsbeveiliging richt zich op informatiesystemen (logische toegangsbeveiliging) en op gebouwen en ruimten waarin medewerkers gehuisvest zijn (fysieke toegangsbeveiliging).
Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten.
[[Bestand:TBV Globale opzet logische en fysieke toegangsbeveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke toegangsbeveiliging”|Globale opzet logische en fysieke toegangsbeveiliging]]
'''De toegangsbeveiligingsobjecten in de drie domeinen Beleid, Uitvoering en Control in een oogopslag'''
<br>
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het beleidsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het beleidsdomein”|Afbeelding 10: Toegangsbeveiligingsobjecten binnen het beleidsdomein]]
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het uitvoeringsdomein”|Afbeelding 11: Toegangsbeveiligingsobjecten binnen het uitvoeringsdomein]]
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het control-domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control-domein”|Afbeelding 12: Toegangsbeveiligingsobjecten binnen het control-domein]] +
