1263
U

Eigenschap:Beschrijving

Uit NORA Online
Ga naar: navigatie, zoeken
KennismodelKennismodel NORA
TypeTekst
Geldige waarden
Meerdere waarden toegestaanNee
Weergave op invulformulierenTekstvak
Defaultwaarde
ToelichtingDeze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Specialisatie van



Deze eigenschap wordt gebruikt door de volgende elementtypen:


Pagina's die de eigenschap "Beschrijving" gebruiken

Er zijn 250 pagina's die deze eigenschappen gebruiken.

(vorige 250 | volgende 250) (20 | 50 | 100 | 250 | 500) bekijken.

'
'Mastering Alliances' published, a whitepaper on cross-organizational collaboration +'Mastering Alliances' published, a whitepaper on cross-organizational collaboration  +
(
(Software) configuratie management +Configuratiebeheer is het beheerproces dat onder andere verantwoordelijk is voor het registreren van de software configuratie-items (SCI's) en hun specifieke kenmerken, zodat de SCI's altijd uniek te identificeren zijn en de volledigheid en de juistheid van de in de CMDB opgenomen items gewaarborgd is. Configuratie beheer geeft inzicht in de status van de verschillende SCI’s die binnen het ontwikkeltraject worden gebruikt en geeft de relaties weer tussen deze SCI’s. Hierdoor wordt duidelijk welke gevolgen aanpassingen van het ene SCI heeft voor andere SCI’s.  +
(Ver)sterkte authenticatie +(Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.  +
1
14+ netnummer +Met een 14+netnummer krijgen gemeenten een herkenbare telefonische ingang. Een 14+netnummer begint met de cijfers 14 en eindigt op het netnummer van de gemeente (zoals 14 010 of 14 0115). Door te bellen met het 14+netnummer komt de burger uit bij zijn gemeente.  +
7
7 November 2018 Congres Linked Data is FAIR voor Iedereen +7 November 2018 Congres Linked Data is FAIR voor Iedereen  +
@
@TIOH sessie juni 2019 +Tweede sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Op het programma in ieder geval een kijkje in de keuken van DNB Toezicht, met oog voor de digitale ambitie en voorbeelden van innovatief gebruik van data (science) in het toezicht. Andere onderwerpen kunnen nog worden aangemeld, zeker als ze hier bij aansluiten. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
@TIOH sessie november 2019 +Derde sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Onderwerpen kunnen nog worden aangemeld. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
A
AES +De AES-standaard is een versleutelingstechniek voor de bescherming van de vertrouwelijkheid van opgeslagen en verzonden data en is de vervanger van de verouderde DES standaard. AES wordt zowel binnen Nederland als wereldwijd zeer veel en op, op zeer veel verschillende wijzen gebruikt. Voorbeelden van het gebruik zijn: # In programma's zoals WinRAR, WinZip, PowerArchiver, e.d. wordt AES als encryptie aangeboden. # AES wordt toegepast voor beveiliging (WPA2) in draadloze netwerken (Wifi), zie IEEE 802.11i. # AES wordt toegepast voor het versleutelen van gegevens voor verzending over het internet, https verkeer etc. # In hardware voor netwerken wordt veelvuldig gebruikt gemaakt van AES.  +
API’s en de samenwerkende overheid +Application Programming Interfaces (API's) zijn handige stukjes software die het mogelijk maken om gegevens op te vragen en te gebruiken in een andere applicatie. Steeds meer overheden maken niet alleen gebruik van API's, maar publiceren hun API's ook op developer.overheid.nl (zie [[Portaal met alle API's in publieke sector in aanbouw|nieuwsbericht]]). En binnen het Kennisnetwerk API's is gewerkt aan een [[Nationale API Strategie in openbare consultatie|Nationale API Strategie]] en worden bijeenkomsten gehouden om kennis te delen. Toch hebben nog lang niet alle organisaties en architecten door wat de volle potentie en impact is van API's. Zoals we bij de eerste automatiseringsslag papieren processen reproduceerden op het scherm, sluit ook de eerste generatie API's vooral aan bij onze bestaande manier van werken. Wat zijn de nieuwe mogelijkheden waar we nog nauwelijks over na gedacht hebben? Hoe gaan we dat merken de komende jaren en hoe kunnen we er nu al op inspelen? Youetta de Jager, enterprise architect bij ICTU, praat ons bij.  +
ASN.1 +ASN is een standaard manier voor het beschrijven van data die binnen een netwerk verzonden of ontvangen worden. Abstract syntax notation one (ASN.1). ASN.1 wordt veel gebruikt voor het beschrijven van X.509 certificaten en de toepassing ervan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast beschrijft deze standaard rollen en structuren om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen. Hierdoor is het mogelijk grote hoeveelheden gegevens geautomatiseerd te valideren aan de hand van specificaties met behulp van software tools.  +
Aanwijzingen voor de regelgeving +Circulaire van de Minister-President, Aanwijzingen waarbij de wetgevingstechniek en de wetgevingskwaliteit centraal staan. Hoofdstuk 5, paragraaf 8 behandelt de Informatievoorziening en Gegevensverwerking. Bevat de aanwijzigingen: Aanwijzing 5.31. Aansluiten bij definities basisregistraties Indien voor de uitvoering van een regeling gegevens van burgers, bedrijven of instellingen nodig zijn, wordt voor de omschrijving van de daaraan ten grondslag liggende begrippen zoveel mogelijk verwezen naar of aangesloten bij de definities uit de wetten inzake de basisregistraties Aanwijzing 5.32. Informatieparagraaf in toelichting Indien voor de uitvoering van een regeling de beschikbaarheid of uitwisseling van informatie tussen overheidsorganisaties van betekenis is, wordt in een aparte informatieparagraaf in de toelichting aandacht besteed aan de wijze waarop de informatievoorziening organisatorisch en technisch is ingericht. Aanwijzing 5.33. Verwerking van persoonsgegevens Bij het opnemen in een regeling van bepalingen over de verwerking van persoonsgegevens bevat de regeling een welbepaalde en uitdrukkelijke omschrijving van de doeleinden van de gegevensverwerking en bevat de toelichting een expliciete afweging van de belangen van verantwoordelijken en betrokkenen in relatie tot die doeleinden. Aanwijzing 5.34. Structurele basis verstrekking persoonsgegevens Indien het noodzakelijk is dat op structurele basis wordt voorzien in de onderlinge verstrekking van persoonsgegevens tussen bestuursorganen of toezichthouders, terwijl geldende geheimhoudingsbepalingen daaraan in de weg staan, wordt op het niveau van de formele wet voorzien in een uitdrukkelijke regeling van de gegevensverstrekking, met inbegrip van de vaststelling van het doel van de gegevensverstrekking.  +
Ades Baseline Profiles +Elektronische handtekeningen worden gebruikt voor het ondertekenen van digitale berichten. Een elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch bericht inderdaad afkomstig is van de ondertekenaar en dat deze de inhoud van het bericht onderschrijft. Voor het ondertekenen van berichten die een hoger niveau van betrouwbaarheid vereisen, kunnen geavanceerde elektronische handtekeningen of gekwalificeerde elektronische handtekeningen worden gebruikt. De AdES Baseline Profiles zorgen ervoor dat een geavanceerde/gekwalificeerde elektronische handtekening voor de ondertekenaar en ontvanger uitwisselbaar is door eisen te stellen aan de minimale set aan informatie die wordt uitgewisseld. De AdES Baseline Profiles beschrijven de minimale set aan gegevens die uitgewisseld moeten worden om aan de eisen van een geavanceerde elektronische handtekening te voldoen. Een geavanceerde elektronische handtekening voldoet aan vier eisen: # De handtekening is op unieke wijze aan de ondertekenaar verbonden; # De handtekening maakt het mogelijk de ondertekenaar te identificeren; # De handtekening komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; # De handtekening is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging van de gegevens, na ondertekening, kan worden opgespoord.  +
Afnemer +De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.  +
Algemene Verordening Gegevensbescherming (AVG) +Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De [[Wet Bescherming Persoonsgegevens]] geldt dan niet meer. In feite is de AVG nu al van toepassing (28 mei 2016) maar wordt zij pas gehandhaafd vanaf 28 mei 2018.  +
An introduction to Society Architecture +Architecten heb je in allerlei soorten, waarbij de titel vaak bepaald wordt door het werkveld dat voor hen is afgebakend: een enkel project, een keten, een domein, de 'business' of de 'enterprise.' De associatie die dit oproept is dat je ook niet breder kijkt dan die afbakening en de directe raakvlakken. Gelukkig, in een tijd waarin alles steeds meer met alles verweven is, is dat meestal niet het geval: architecten zijn breed geïnteresseerde en nieuwsgierige mensen die hun bijdrage willen leveren aan het grotere geheel. Al is het soms wel moeilijk om in je dagelijks werk genoeg ruimte te vinden voor die bredere blik. Bas Kaptijn en Steven Gort creëren al een paar jaar bij ICTU die ruimte: zij denken niet vanuit een enkele opdrachtgever of organisatie, maar vanuit de samenleving als geheel.Zij nemen ons mee in het hoe, wat en waarom van Society Architecture en stellen ons vervolgens de vraag: denk jij en doe jij mee?  +
Analyse en specificatie van informatiebeveiligingseisen +Zoals hierboven gesteld heeft het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ betrekking op niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid.  +
Analyse en specificatie van informatiesystemen +Het analyseren en specificeren van requirements is een proces van het traceren en onderkennen van functionele en niet-functionele requirements waar de te ontwikkelen applicatie aan moet voldoen. Ook worden de constraints geïdentificeerd die zullen gelden in de ontwikkel- en de operatie fases. Het ontwikkelen van informatiesystemen wordt tegenwoordig veelal uitgevoerd conform de iteratieve ontwikkelmethode (Agile). Onafhankelijk van de methode, traditioneel, waterval of iteratief (Agile), is sprake van een aantal ontwikkelstappen waar aandacht wordt besteed aan: * functionele eisen, zoals functionaliteiten, gegevens, businessrules, presentatie, interactie en foutafhandelingen; * niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid. In de ISO27001/2 wordt ten aanzien van dit thema alleen focus gelegd op niet-functionele eisen (beveiligingseisen). Daarom is naast het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ ook het object ‘Analyse en specificatie van Informatiesystemen’ toegevoegd, waarbij de nadruk gelegd wordt op functionele eisen. Dit thema is ‘Baseline based’ en met lineaire volgens V-model aanpak uitgewerkt. Aangezien bij Agile niet op deze wijze wordt gewerkt, verdient dit aspect extra aandacht.  +
Antwoord voor bedrijven +De website Antwoord voor bedrijven is per 15 september 2014 opgegaan in Ondernemersplein.nl. De website maakt ondernemers wegwijs door de grote hoeveelheid informatie van de overheid. Binnen- en buitenlandse dienstverleners vinden op deze website informatie van de overheid over onder meer wet- en regelgeving, vergunningen en aanvraagprocedures. Daarnaast kunnen zij via dit elektronische kanaal met overheidsorganisaties procedures en formaliteiten afwikkelen, zoals het aanvragen en verkrijgen van vergunningen. Antwoord voor bedrijven voert regelmatig gebruikersonderzoeken met een actief ondernemerspanel uit. Zo houden ze in de gaten of het loket aansluit op de wensen van de gebruikers.  +
Apparatuur positionering +In de Huisvesting-IV bevindt zich verschillende apparatuur. Deze apparatuur dient zo te zijn gepositioneerd en beschermd, dat verlies, diefstal, onderbreking van bedrijfsmiddelen wordt voorkomen .  +
Apparatuur verwijdering +Apparaten kunnen cruciale data bevatten. Het verwijderen van apparaten moet daarom volgens vastgestelde procedures plaatsvinden.  +
Applicatie architectuur +De applicatie architectuur beschrijft de samenhang tussen functionele en beveiligingseisen. Ook wordt er aandacht besteed aan de integratie aspecten met de infrastructuur. Vanuit een eenduidig beeld wordt de applicatie conform deze architectuur gerealiseerd. Richtlijnen, instructies, architectuur- en beveiligingsvoorschriften en procedures worden zodanig toegepast dat een samenhangend geheel ontstaat. Op deze manier wordt ook zeker gesteld dat de applicatie aan de vereiste functionele en beveiligingseisen voldoet.  +
Applicatie functionaliteiten +Applicatie functionaliteiten zijn interne functies binnen een applicatie die ondersteuning bieden aan (een) bedrijfsproces(sen). De functies kunnen worden onderverdeeld in invoer-, verwerking- en uitvoerfuncties. Binnen de functies worden controles en rekenregels ingebouwd om de gewenste acties te kunnen uitvoeren en gewenste resultaten te kunnen leveren. Het totaal aan functionaliteiten moet aan bepaalde eisen voldoen, zo moeten functionaliteiten: * voldoen aan de behoefte van de gebruikers; * de gebruikerstaken afdekken; * resultaten leveren die nauwkeurig zijn; * geschikt zijn om bepaalde taken te kunnen ondersteunen.  +
Applicatie ontwerp +Tijdens de ontwerpfase worden de (niet)functionele requirements omgezet naar een uitvoerbaar informatiesysteem. Een high level architectuur wordt ontwikkeld om de software te kunnen bouwen. Hierbij wordt, onder andere, aandacht besteed aan de gebruikte data door het systeem, de functionaliteit die geboden moeten worden, de toegepaste interfaces tussen componenten binnen het systeem en aan koppelingen met andere systemen. Ook worden constraints die voortvloeien uit specifieke beveiligingseisen verder uitgewerkt.  +
Applicatiebouw +Na de eerste twee ontwikkelfasen waarbij de nadruk ligt op de analyse van requirements en op het ontwerp van het product volgt de derde fase: de applicatiebouw. In deze derde fase wordt de programmacode gecreëerd op basis van good practices, methoden/technieken en bepaalde beveiligingsuitgangspunten.  +
Applicatiekoppelingen +Bij het ontwikkelen van applicatie kunnen mogelijk koppelingen tussen de in ontwikkel zijnde applicatie en andere applicaties noodzakelijk zijn. Vanuit beveiligingsoogpunt dienen dit soort koppelingen aan bepaalde eisen voldoen.  +
Applicatieontwikkeling Beleid +Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B.01</td> <td>Beleid voor (beveiligd) ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td>B.05</td> <td>Business Impact Analyse (BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens (GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td>B.08</td> <td>Toegangbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Control +Binnen het Control domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >C.01</td> <td >Richtlijnen evaluatie ontwikkelactiviteiten</td> <td >ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >C.02;</td> <td >Versiebeheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.03</td> <td >Patchmanagement van externe programmacode</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.04</td> <td >(Software)configuratie beheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.05</td> <td >Compliance management</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.06</td> <td >Quality assurance</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.07</td> <td >Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td >ISO27002: 14.2.3</td> <td >F</td> </tr> <tr> <td >C.08</td> <td >Beheersing van softwareontwikkeling(sprojecten</td> <td >CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Controldomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Uitvoering +Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoering domein een rol spelen|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >U.01</td> <td >;Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td >ISO27002: 14.2.2</td> <td >I</td> </tr> <tr> <td >U.02</td> <td >Beperkingen voor de installatie van software (richtlijnen)</td> <td >ISO27002: 12.6.2</td> <td >I</td> </tr> <tr> <td >U.03</td> <td >Richtlijnen voor programmacode (best practices)</td> <td >CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >U.04</td> <td >Analyse en specificatie van informatiesystemen</td> <td >Cobit</td> <td >F</td> </tr> <tr> <td >U.05</td> <td >Analyse en specificatie van informatiebeveiligingseisen</td> <td >ISO27002:14.1.1</td> <td >F</td> </tr> <tr> <td >U.06</td> <td >Applicatie ontwerp</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.07</td> <td >Applicatiefunctionaliteiten (invoer, verwerking, uitvoer)</td> <td >ISO27002:12.2.1, 12.2.2, 1.2.2.4, BIR 1.0</td> <td >F</td> </tr> <tr> <td >U.08</td> <td > Applicatiebouw</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.09</td> <td >Testen van systeembeveiliging</td> <td >ISO27002:14.2.8</td> <td >F</td> </tr> <tr> <td >U.10</td> <td >Systeemacceptatie tests</td> <td >ISO27002:14.2.9</td> <td >F</td> </tr> <tr> <td >U.11</td> <td >Beschermen van testgegevens</td> <td >ISO27002:14.3.1</td> <td >F</td> </tr> <tr> <td >U.12</td> <td >Beveiligde Ontwikkel- (en Test-)omgeving</td> <td >ISO27002: 14.2.6</td> <td >G</td> </tr> <tr> <td >U.13</td> <td >Applicatiekoppelingen</td> <td >ISO25010, NIST CA, CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.14</td> <td >Logging en monitoring</td> <td >CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.15</td> <td >Applicatie/software architectuur</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <tr> <td >U.16</td> <td >Tooling ontwikkelmethode</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Uitvoeringdomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Aquo-lex en Aquo Objecten Catalogus +Aquo-lex (het ‘waterwoordenboek') bevat circa 7.500 definities voor termen. De fouten die bij gegevensuitwisseling optreden, ontstaan vaak door verschil in betekenis. Door deze ‘standaardtaal' te gebruiken, wordt spraakverwarring tussen mensen en/of informatiesystemen voorkomen. Aquo-lex wordt geïntegreerd in de Aquo Objecten Catalogus (Aquo OC). Deze catalogus bevat relaties tussen de begrippen uit Aquo-lex. De gebruiker ervan kan snel termen vinden en in hun context plaatsen.  +
Aquo-standaard +Aquo-standaard – de uniforme taal voor de uitwisseling van gegevens binnen de watersector. De Aquo-standaard maakt het mogelijk om op een uniforme manier gegevens uit te wisselen tussen partijen die betrokken zijn bij het waterbeheer en draagt daarmee bij aan een kwaliteitsverbetering van het waterbeheer. Het eenvoudig en eenduidig delen van informatie leveren tijd- en geldwinst op. De Aquo-standaard is een open standaard en staat op de lijst met ‘pas toe of leg uit‘-standaarden van de overheid en bestaat uit meerdere onderdelen. Alle informatie is vrij toegankelijk en gratis te downloaden.  +
ArchiMate +Een beschrijvingstaal voor enterprise-architecturen.  +
Architectuur +Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.  +
Architectuur Board stelt doorontwikkeling in op drie katernen +Architectuur Board stelt doorontwikkeling in op drie katernen  +
Architectuurproducten +Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.  +
Authenticatie +Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.  +
Authenticiteit +Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.  +
Authentiek gegeven +In een basisregistratie opgenomen gegeven dat bij wettelijk voorschrift als authentiek is aangemerkt  +
Autorisatie +Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen  +
Autorisatie +Voor de betiteling ‘Beperking toegang tot informatie’ is gekozen om het object “Autorisatie’ te gebruiken omdat het beter aansluit op een van toegangsmechanismen, identificatie, authenticatie en autorisatie. Na het identificatie- en authenticatieproces krijgen gebruikers/beheerders verdere specifieke toegang tot informatiesystemen voor gebruik of voor beheerdoeleinden. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de het toegangsbeleid.  +
Autorisatieproces +De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven.  +
Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit +Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit.  +
Autorisatievoorzieningsfaciliteiten +Om autorisatie efficiënt en effectief te kunnen inrichten zijn er technische autorisatievoorzieningsmiddelen noodzakelijk, personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten.  +
B
BAG (Basisregistratie Adressen en Gebouwen) +De Basisregistratie Adressen en Gebouwen (BAG) is de registratie waarin gemeentelijke basisgegevens over alle gebouwen en adressen in Nederland zijn verzameld. De BAG is gebaseerd op de Wet basisregistraties adressen en gebouwen. Gemeenten zijn bronhouder van de gebouw- en adresgegevens. Alle bestuursorganen zijn verplicht om vanaf 1 juli 2011 gebruik te maken van de BAG bij de uitvoering van hun publiekrechtelijke taken.  +
BAG/BAG viewer +Website waar een BAG-kaart getoond wordt. Klikken op panden toont de onderliggende pand- en verblijfsobjectgegevens. Viewer toont actuele en historische gegevens. [https://bagviewer.kadaster.nl/lvbag/bag-viewer/index.html BAG viewer op website Kadaster].  +
BAG/Compact eenmalig of abonnement +BAG Compact is een XML-bestand met alle BAG-adressen op basis van een vaste peildatum van heel Nederland. Behalve adressen bevat het bestand ook adresgerelateerde elementen uit de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Compact.htm BAG Compact] op website Kadaster.  +
BAG/Digilevering +Abonnementenservice om realtime een bericht te ontvangen bij een wijziging in de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Digilevering.htm BAG Digilevering] op website Kadaster.  +
BAG/Extract +Levering van een totaalstand van alle BAG-gegevens voor het gevraagde gebied (volledige levenscyclus of op peildatum). Mogelijk om te selecteren op gemeente, meerder gemeenten of geheel Nederland. Een bestand van heel Nederland is permanent beschikbaar met een vertraging van maximaal één maand. Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de een totaalstand. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Extract.htm BAG Extract] op website Kadaster.  +
BAG/Extract mutaties +Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de totaalstand.  +
BAG/Geocodeerservice +Zoekservice van [https://www.pdok.nl/diensten#PDOK%20Locatieserver PDOK] waar men kan zoeken op administratiegegevens om daarna naar de positie op de kaart van het gegeven te gaan. Bij gegevens kan men denken aan o.a. adressen, straten, woonplaatsen (BAG), maar ook aan Kadastrale informatie (DKK), weginformatie (NWB), Wijk-en buurtinformatie en Waterschapsinformatie.  +
BAG/WMS-WFS via PDOK +Biedt BAG gegevens van een in de vraag gespecificeerde geografische contour, hetzij als ‘plaatje’ (WMS) hetzij als data, welke door de afnemer gevisualiseerd, opgeslagen en bewerkt kunnen worden. De WFS service is vooralsnog gemaximeerd op 15000 objecten. *[https://www.pdok.nl/nl/service/wms-bag BAG WMS] op website PDOK. *[https://www.pdok.nl/nl/service/wfs-bag BAG WFS] op website PDOK  +
BAG/bevragen +Webservice voor het geautomatiseerd bevragen van de LV-BAG met behulp van software van de afnemer. BAG Bevragen kan de volledige levenscyclus van een object opvragen. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Bevragen.htm BAG bevragen] op website Kadaster.  +
BGT (Basisregistratie Grootschalige Topografie) +De Basisregistratie Grootschalige Topografie (BGT) wordt een uniform topografisch basisbestand met objecten in heel Nederland op een schaal van 1:500 tot 1:5.000. Het doel van de realisatie van de BGT is dat de hele overheid gebruik maakt van dezelfde basisset grootschalige topografie van Nederland. Topografie is de beschrijving van de fysieke werkelijkheid. Dus de dingen die in het terrein fysiek aanwezig zijn.  +
BGT Gegevenscatalogus +De BGT vormt de kern (verplichtende deel) van het informatiemodel geografie (IMGeo). De verdiepingsslag van de BGT die in IMGeo is vastgelegd als het optionele deel, is bedoeld voor het opslaan en uitwisselen van beheer- en plustopografie. IMGeo zorgt ervoor dat wie de optionele informatie wil beheren en/of uitwisselen, dit volgens een landelijke standaard kan doen. IMGeo biedt ook voor 3D uitwisseling van grootschalige topografie een optionele standaard en baseert zich hiervoor op de internationale standaard CityGML.  +
BIO (Baseline Informatiebeveiliging Overheid) +De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De BIO is: * een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid; * een afgeleide van de huidige [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR2017]], die al in werking is voor het Rijk; * een concretisering van een aantal normen tot verplichte overheidsmaatregelen. Iedere overheidslaag heeft besloten de bestaande eigen baseline informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR2017. Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen. Een PDF-versie is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio] ==Hulpbronnen voor de toepassing v/d BIO in de praktijk== Het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] ontwikkelt i.s.m. het ministerie van BZK de zogenaamde BIO Thema's, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. We ontsluiten die op noraonline in de : → [[ ISOR (Information Security Object Repository)]]. Meer informatie en documenten van het CIP delen zij in het het forum op Pleio : → [https://cip.pleio.nl/ cip.pleio.nl]. Ook de Informatie Beveiligings Dienst (IBD), de sectorale CERT / CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO. : → [https://www.informatiebeveiligingsdienst.nl/producten/ informatiebeveiligingsdienst.nl/producten/]  +
BIO Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS +. [[Afbeelding:Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS.png|thumb|350px|Geïdentificeerde objecten ingedeeld naar IFGS|alt=”Geïdentificeerde objecten ingedeeld naar IFGS”]]  +
BIO Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model +. [[Afbeelding:Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model.png|thumb|350px|IFGS gekoppeld aan het V-model|alt=”IFGS gekoppeld aan het V-model”]]  +
BIO Thema Applicatieontwikkeling - Identificatie applicatieontwikkeling objecten +== Identificatie applicatieontwikkeling objecten== Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn: * welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan? ===De organisatie van applicatieontwikkelobjecten=== Zoals al in ISOR:Ontwikkelcyclus van applicatieontwikkeling is aangegeven worden de geïdentificeerde applicatie objecten op basis van de lagenstructuur: Beleid domein, Uitvoering domein en Control domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: 'Beleid domein': Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en verboden’, zoals applicatiebeveiligingsbeleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. 'Uitvoering domein': Binnen dit domein bevinden zich: * elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van het ontwikkelen van applicaties; * elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; en * elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. 'Control domein': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die naar wens verlopen. ===Observatie bij de exercitie van het identificeren van objecten uit ISO=== Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de ontwikkelfasen van systeem ontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel security controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen. ===Applicatieontwikkeling objecten geprojecteerd op BUC en gesorteerd naar IFGS=== Tabel 'Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC' geeft een overzicht van de applicatieontwikkeling objecten die in hoofdstukken [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleid domein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoering domein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control domein]] nader zijn uitgewerkt. Eerst is door de werkgroepleden, vanuit een ‘baseline-based’ benadering, een lijst gemaakt van de relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten door de werkgroep als relevant voor dit thema aangegeven (zie tabel 1). We zijn ons ervan bewust dat deze zogenaamde ‘baseline-based’ benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. We hebben ervoor gekozen om een ‘baseline-based’ toe te passen, om zo de overgang naar de Agile benadering beter te kunnen maken. Uit de inhoudelijke bestudering van de objecten, vanuit de ‘baseline-based’ benadering, bleken toch doublures te zijn in de objecten; m.a.w. twee verschillende objecten die dezelfde inhoud kenden. Sommige objecten hebben we vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope. We willen opmerken dat er verschillende termen gehanteerd worden, zoals informatiesystemen, applicaties, systemen, toepassingen. Het op te leveren document moet qua gebruikte termen consistent zijn, daarom hebben wij ervoor gekozen om de term ‘systeem’ in de betiteling van de control (dus het object) aan te passen naar Applicatieontwikkeling. ''Beleid'' [[Afbeelding:Thema Applicatieontwikkeling - Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Beleid-objecten]] ''Uitvoering'' [[Afbeelding:Thema Applicatieontwikkeling - Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Uitvoering objecten]] ''Control'' [[Afbeelding:Thema Applicatieontwikkeling - Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Control-objecten]] <table class="wikitable"> <tr> <th></th> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>Beleid domein</td> <td>B.01</td> <td>Beleid voor (beveiligd)ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td></td> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td></td> <td>B.05</td> <td>Business Impact Analyse(BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td></td> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens(GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>B.08</td> <td>Toegangsbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td></td> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td>Uitvoering domein</td> <td>U.01</td> <td>Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td>ISO27002: 14.2.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.02</td> <td>Beperkingen voor de installatie van software (richtlijnen)</td> <td>ISO27002: 12.6.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.03</td> <td>Richtlijnen voor programmacode(best practices)</td> <td>CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>U.04</td> <td>Analyse en specificatie van informatiesystemen</td> <td>Cobit</td> <td>F</td> </tr> <tr> <td></td> <td>U.05</td> <td>Analyse en specificatie van informatiebeveiligingseisen</td> <td>ISO27002:14.1.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.06</td> <td>Applicatie ontwerp</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.07</td> <td>Applicatiefunctionaliteiten(invoer, verwerking, uitvoer)</td> <td>ISO27002:12.2.1, 12.2.2, 12.2.4, BIR 1.0</td> <td>F</td> </tr> <tr> <td></td> <td>U.08</td> <td>Applicatiebouw</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.09</td> <td>Testen van systeembeveiliging</td> <td>ISO27002:14.2.8</td> <td>F</td> </tr> <tr> <td></td> <td>U.10</td> <td>Systeemacceptatie tests</td> <td>ISO27002:14.2.9</td> <td>F</td> </tr> <tr> <td></td> <td>U.11</td> <td>Beschermen van testgegevens</td> <td>ISO27002:14.3.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.12</td> <td>Beveiligde Ontwikkel- (en Test-)omgeving</td> <td>ISO27002: 14.2.6</td> <td>G</td> </tr> <tr> <td></td> <td>U.13</td> <td>Applicatiekoppelingen</td> <td>ISO25010,NIST CA, CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.14</td> <td>Logging en monitoring</td> <td>CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.15</td> <td>Applicatie architectuur</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td></td> <td>U.16</td> <td>Tooling ontwikkelmethode</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> <tr> <td>Control domein</td> <td>C.01</td> <td>Richtlijnen evaluatie ontwikkelactiviteiten</td> <td>ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>C.02</td> <td>Versiebeheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.03</td> <td>Patchmanagement van externe programmacode</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.04</td> <td>(Software)configuratie beheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.05</td> <td>Quality management</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.06</td> <td>Compliance Assurance</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.07</td> <td>Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td>ISO27002: 14.2.3</td> <td>F</td> </tr> <tr> <td></td> <td>C.08</td> <td>Beheersing van softwareontwikkeling(sprojecten</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Overzicht objecten ingedeeld naar BUC</caption></table>  +
BIO Thema Applicatieontwikkeling - Inleiding +==Inleiding== Het belang en de risico’s die de organisatie aan het bedrijfsproces of beheerproces stelt, bepalen inherent de eisen die gesteld moeten worden aan de applicatie(s) die het betreffende proces ondersteunen. De risicobeoordeling van de functionaliteit, gevoeligheid van de gegevens, belang van de applicatie voor de organisatie bepalen of en welke normen van toepassing zijn. Wij willen u erop attenderen dat in dit document de termen applicatie en informatiesysteem worden gehanteerd. De ISO spreekt over informatiesystemen, dit thema betreft applicaties, wat een onderdeel is van een informatiesysteem. Bij de controls hanteren we informatiesysteem om bij de tekst van de ISO te blijven. ===Context Applicatieontwikkeling=== Dit document bevat de uitwerking van het thema ‘Applicatieontwikkeling’. Een applicatie kan worden verworven door interne ontwikkeling, uitbesteding of inkoop van een commercieel product. Dit kan ook door een combinatie van interne ontwikkeling en uitbesteding (zie afbeelding 'Overzicht van type applicaties'). Hierbij kan het voortraject (het specificeren) door de klant zelf worden verricht terwijl het technische deel (het ontwikkelen) door de externe partij wordt uitgevoerd. Hierbij zullen extra afspraken over de beveiligingsaspecten gemaakt moeten worden. Gedurende de ontwikkelcyclus van de applicatie zal voldaan moeten zijn aan zowel functionele als beveiligingseisen. Ook moeten bij de ontwikkeling het informatiebeveiligingsbeleid, wet en regelgeving (o.a. AVG, BIO) en eisen ten aanzien van de technische omgeving worden betrokken. In dit thema zullen de beveiligingseisen ten aanzien van applicatieontwikkeling worden samengesteld. Het uitgangspunt hierbij is de noodzakelijke beveiligingseisen, in de vorm van controls en onderliggende maatregelen, uit de BIO en ISO27002 (2013) in een samenhangende context te plaatsen en waar nodig deze aan te vullen met controls uit andere ISO standaarden, NIST of Standard of Good practice. Alvorens de controls, die gerelateerd zijn aan objecten, te identificeren, wordt eerst een algemene ontwikkelcyclus beschreven om een beter beeld te krijgen over de te hanteren stadia. Deze exercitie is zinvol om de geïdentificeerde objecten uit ISO/BIO en overige standaarden beter contextueel in samenhang te plaatsen. De beschrijving van de stadia vindt plaats in § 1.4 ‘Ontwikkelcyclus van applicaties’. ===Doel van het thema Applicatieontwikkeling=== Dit thema is opgesteld om zowel de interne als de externe leverancier over een instrument te laten beschikken gericht op de implementatie van applicaties in de technische omgeving van de leverancier of van de klant zelf. Het thema geeft hiermee inzicht in de kwaliteitszorg die de leverancier dient toe te passen, en wat de klant kan verwachten, bij het opleveren van nieuwe software. Het geeft tegelijkertijd de verplichte activiteiten weer van de klant. Hiernaast kan het als instrument dienen voor het geven van inzicht in het beveiligings- en beheersingsniveau van de ontwikkel- en onderhoudsorganisatie van de leverancier. ===Scope en begrenzing van Applicatieontwikkeling=== In dit thema zullen we ons voornamelijk richten op conditionele, beveiligings- en beheersingsaspecten die gerelateerd zijn aan het ontwikkelen van applicaties. We beperken ons binnen dit thema tot het inhouse ontwikkelen van applicaties en waarbij geen aandacht wordt besteed aan: * de activiteiten die gerelateerd zijn aan onderhoud van applicaties, webapplicatie en ERP pakketten (zie afbeelding 'Overzicht van type applicaties'); * het type gebruikers- en business eisen omdat deze eisen organisatieafhankelijk zijn; * de toegangsbeveiligingsaspecten omdat deze aspecten in het thema ‘Toegangsbeveiliging’ en in de SIG ISO25010 geadresseerd zijn. [[Afbeelding:Thema Applicatieontwikkeling - Overzicht van type applicaties.png|thumb|350px|Overzicht van type applicaties|alt=”Overzicht van type applicaties”]] ===Ontwikkelcyclus van applicatieontwikkeling=== Een applicatie (software) wordt ontwikkeld om een (bedrijfs)proces te ondersteunen. Hiervoor dient eerst een context analyse te worden gemaakt om de juiste functionele vereisten te identificeren. De applicatie moet voldoen aan de behoeften van gebruikers en stakeholders in de vorm van wet- en regelgeving, eisen en requirements of te wel een Programma van Eisen (PvE). Dit PvE wordt ontwikkeld in samenwerking met informatie analisten, softwareontwikkelaars en -gebruikers. De kwaliteit (succes) van een applicatie wordt o.a. bepaald door: * hoe goed de applicatie het vastgestelde programma van eisen weerspiegelt; * hoe goed het programma van eisen de gebruikerseisen en wensen weerspiegelt; * hoe goed de gebruikerseisen en wensen de reële situatie (daadwerkelijke noodzakelijkheden) weerspiegelt. Slechte kwaliteit van het PvE wordt o.a. veroorzaakt door onjuistheden, verkeerde aannames, inconsistenties, onduidelijk taalgebruik en ontoereikendheid. Bij applicatieontwikkeling is een goede inrichting van projectmanagement en de te hanteren systeem ontwikkelmethode (Systeem Development Life cycle) essentieel. Het applicatieontwikkeling proces wordt verdeeld in activiteiten die niet noodzakelijk als sequentiële stappen doorlopen worden (zie ook §1.5 ‘Ontwikkelmethoden’). De onderkende activiteiten zijn: * analyseren; * specificeren; * ontwerpen; * ontwikkelen; * valideren(testen); * gebruik en beheer. Opmerking: Bij agile worden in ieder geval ontwikkelen en een deel van het valideren als één activiteit uitgevoerd. Een deel van het ontwerpen kan daar ook bij horen. Ook wordt het andere deel van valideren en gebruiken wel gelijktijdig gedaan. Hiervoor zijn verschillende modellen bekend. Afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen' geeft een schematische weergave van een ontwikkelproces in de vorm van het V-Model. De activiteiten zullen hieronder worden toegelicht. Ze verschaffen mogelijkheden om de geïdentificeerde operationele objecten uit BIO, ISO27001/2 en overige standaarden te rubriceren. [[Afbeelding:Thema Applicatieontwikkeling - De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen.png|thumb|350px|De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen|alt=”De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen”]] Hiernaast spelen ook essentiële randvoorwaardelijke- en beheersingselementen een rol bij de ontwikkel- en onderhoudsactiviteiten. De operationele-, randvoorwaardelijke- en beheersingselementen voor het thema Applicatieontwikkeling kunnen ingedeeld worden in drie domeinen: Beleid, Uitvoering en Control. Deze indeling wordt eveneens afgebeeld in afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen'. ''Perspectieven'' De linkerkant van het model beschrijft het ontwikkelperspectief en de rechterkant het gebruikersperspectief. Als de applicatieontwikkeling plaatsvindt bij een externe organisatie of een aparte businessunit zijn deze perspectieven gescheiden. Ingeval van uitbesteding wordt, afhankelijk van de afspraken tussen de klant en de leverancier, de rechterkant aangeduid als het leveranciersperspectief en de linkerkant als het klantperspectief. Hierover dienen klant en leverancier heldere afspraken te maken. Afspraken dienen gericht te zijn op: * het uitwisselen van kennis, specifiek over de overdracht van proceskennis van de (gebruiks)organisatie naar de ontwikkelorganisatie; * het tijdens het ontwikkelproces niet verstoren van het primaire proces; * het toezien op de bescherming van intellectuele eigendommen en van gevoelige informatie. De verantwoordelijken binnen het ontwikkelproces moeten verantwoording kunnen afleggen over de kwaliteit van het geleverde product. Om een goede beheersing te waarborgen is het vanuit best practices noodzakelijk de verschillende lifecycle stadia te isoleren in een eigen omgeving zodat gegarandeerd kan worden dat het primaire proces niet wordt verstoord. Daarbij vindt een expliciete afsluiting van een fase plaats zodat een gecontroleerde overgang mogelijk wordt. Dit concept wordt een OTAP-straat genoemd. ''Analyseren'' In deze fase wordt de context van het businessproces, dat door de te ontwikkelen applicatie ondersteund moet worden, geanalyseerd. Hierbij worden de noodzakelijke requirements, waaronder de bedrijfsfuncties, gegevens en veranderwensen vanuit de bedrijfsprocessen geïdentificeerd en vastgelegd. De focus ligt op de ‘waarom’ aspecten. Onder andere de volgende activiteiten worden uitgevoerd: * onderzoeken en brainstormen over de te ontwikkelen software, om duidelijkheid te krijgen wat het doel is van de software; * analyseren van eisen en wensen van gebruikers, beheerders en partners ten aanzien van functionele en niet-functionele aspecten. ''Specificeren'' Deze activiteit richt zich op de ‘wat’ aspecten. De business-, gebruikers-, stakeholders- (non)functionele- en data requirements worden gespecificeerd. Ook worden de noodzakelijke business rules en de noodzakelijke beperkingen in de vorm van constraints vastgelegd in een functioneel ontwerp. ''Ontwerpen'' Bij deze activiteit vindt de tijdens in de eerdere fase gedetailleerde en vastgestelde uitwerking van informatie en modellen plaats. Deze fase richt zich op de relaties en afhankelijkheden tussen de te bouwen componenten. Hierbij worden de bedrijfs- en procesvereisten gemodelleerd in een ontwerp (architectuur) voor het te bouwen informatie(deel)systeem. Aandacht dient besteed te worden aan de kwaliteitseisen gerelateerd aan gebruikers, functionaliteit en beveiliging. ''Ontwikkelen'' In deze fase worden de softwarecomponenten geconstrueerd (gecodeerd). De relaties en afhankelijkheden van de te automatiseren processen en modules worden vastgelegd in een softwarearchitectuur. Uiteindelijk zullen de programma’s geschreven worden op basis van deze (applicatie/software) architectuur. Hierbij moet ook rekening worden gehouden met enkele ontwikkeleisen, zoals: * reproduceerbaarheid van code; * effectief testbaarheid; * toepassing van externe programma bibliotheek; * toepassing tools en gebruik van licenties; * toepassing van gestandaardiseerde vocabulaire (ISO25010); * inzicht in relaties en afhankelijkheden tussen softwareobjecten; * softwarefeatures (eisen: interfaces, koppelingen, API’s); * richten op aantoonbaar veilig programmeren (Secure Software Design). ''Valideren'' In deze fase worden de ontwikkelde modules/programma’s getest en uiteindelijk geaccepteerd. Gecontroleerd wordt of de software volgens de ontwerprichtlijnen is gebouwd. In deze fase kunnen ook fouten boven water komen die al in eerdere stadia gemaakt zijn. In deze fase wordt aandacht besteed aan bepaalde eisen, zoals: * de applicatie biedt slechts die functionaliteit die in de specificaties/ontwerp zijn opgenomen. (m.a.w.: geen functionaliteit buiten specificaties/ontwerp); * conformiteit aan de gespecificeerde functionaliteit (gebruikers)/ontwerp (Security by Design), AVG). ''Gebruiken'' Als de software voltooid en getest is zal het in gebruik genomen moeten worden volgens een standaardprocedure van de ‘OTAP-straat’. ''Onderhoud/Beheer'' Tenslotte dient de software periodiek op basis van nieuwe functionele eisen en of voorkomende fouten te worden onderhouden en (weer) in beheer te worden genomen. ===Ontwikkelmethoden=== Er zijn verschillende modellen voor het ontwikkelen van applicaties, zoals: lineair, iteratief en Agile. * 'Lineaire methode' Het meest bekend voorbeeld is de watervalmethode (zie §1.4). In deze lineaire ontwikkelmethode wordt het eindproduct (softwareproduct) in een aantal fases opgeleverd. In elke fase wordt een concreet gedefinieerd deelproduct vervaardigd. Requirements moeten duidelijk zijn en vooraf zijn vastgelegd. Kennisoverdracht en monitoring vinden plaats op basis van specifieke documenten en formats. * 'Iteratieve ontwikkelmethode' Iteratieve ontwikkeling is een methode waarbij het eindproduct niet in één keer wordt opgeleverd, maar gefaseerd tot stand komt, waarbij fases herhaaldelijk worden doorlopen. Na elke zogenaamde iteratie wordt het proces geëvalueerd en zo nodig aangepast. In de praktijk worden iteratieve- en lineaire ontwikkelmethoden met elkaar gecombineerd. * 'Agile methode' Een agile methode wordt gekenmerkt door korte, in tijd gelimiteerde sprints. De inhoud van een sprint wordt bij de start ervan bepaald. De gevolgde werkwijze kan (dagelijks) worden aangepast al naar gelang de wensen van de zelfsturende teams. Er wordt gebruik gemaakt van een geordende lijst van product features die gedurende het gehele project wordt bijgewerkt op basis van de behoefte van de klant. Daarmee worden in feite de productspecificaties opgebouwd. De nadruk ligt op samenwerking en mondelinge kennisoverdracht. Prioriteit wordt gegeven aan het opleveren van sprints en producten met de op dat moment hoogste toegevoegde waarde. De sprints worden gedaan door zelfsturende teams met multidisciplinaire teamleden en zonder vastgelegde taken, rollen en verantwoordelijkheden. Afbeelding 'Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model' geeft een schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model. [[Afbeelding:Thema Applicatieontwikkeling - Schematische weergave van een iteratie agile ontwikkelproces in de vorm van het V-Model.png|thumb|350px|Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model|alt=”Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model”]] ===Applicatie objecten uit baseline in relatie tot ontwikkelmethode=== Bij de selectie van applicatie objecten uit ISO en overige baselines is in eerste instantie uitgegaan van de lineaire-/iteratieve aanpak van applicatieontwikkeling. Mogelijk volgen later een versie die gerelateerd is aan applicatieonderhoud en een versie die gerelateerd is aan de Agile methode. Dit zullen aparte documenten zijn die overeenkomsten zullen hebben met dit document, maar vanuit de optiek van onderhoud of Agile aanpak kunnen objecten aangepast en/of toegevoegd worden.  +
BIO Thema Applicatieontwikkeling - SIG ISO25010 model voor technische maatregelen applicatiebeveiliging +tekst wordt later toegevoegd  +
BIO Thema Communicatievoorzieningen - Definitie van objecten +<table class="wikitable"> <tr> <th>  Objectnaam  </th> <th>  Betekenis van de objecten in relatie tot  het thema  </th> <th>  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  De waarborging  van de bescherming van informatie in netwerken, door inzet van  beheerprocedures voor informatietransport en het hanteren van procedures voor  bewaking van netwerken.  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  informatietransport  </td> <td>  Contracten en  afspraken, waarin het dienstverleningsniveau, beveiligingsmechanismen en  beheersingseisen voor netwerkdiensten zijn vastgelegd, zowel voor intern  geleverde diensten als voor uitbestede diensten.  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  </td> <td>  Beleid en  afspraken, specifiek gericht op de toepassing van cryptografie binnen  netwerken en communicatieservices.  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  netwerkbeheer  </td> <td>  Opzet van de  administratieve organisatie van netwerk en communicatiebeheer.  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  netwerkbeveiliging  </td> <td>  Algemene,  operationele beveiligingsrichtlijnen voor ontwerp, implementatie en beheer  van communicatievoorzieningen.  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedures  </td> <td>  Is gerelateerd  aan twee aspecten: Aanmelden en Procedure.  ·  Aanmelden (inloggen) behelst het leggen van een  verbinding- via authenticatie middelen.  ·  De procedure is de samenhangende beschrijving van  welke activiteiten moeten plaatsvinden.  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  Het beheer van  beveiligingsprocedures en -mechanismen.  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  geheimhoudingsovereenkomst  </td> <td>  De eisen die aan  dienstverleners en partners gesteld worden in de operatie voor het waarborgen  van de vertrouwelijkheid van gegevens en de uitvoering van bedrijfsprocessen.  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  netwerkdiensten  </td> <td>  De eisen die aan  dienstverleners gesteld worden t.a.v. te nemen maatregelen voor  beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van de  beheerprocessen.  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering en  filtering  </td> <td>  Gaat over twee  aspecten: Scheiding en Gecontroleerde doorgang.  ·  Scheiding is het positioneren van netwerken in  afzonderlijke fysieke ruimten of het segmenteren van netwerken in  afzonderlijk te beveiligen (logische) domeinen.  ·  Gecontroleerde doorgang is het reguleren van de  toegang van personen tot netwerkvoorzieningen en/of het en filteren van  informatiestromen op basis van beleidsregels met filters en algoritmen.  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  Beveiliging van  elektronisch berichtenverkeer, zoals b.v. e-mail, web-verkeer, chat-sessies  en ‘streaming’ audio en video. Beveiliging omvat maatregelen voor bescherming  van het berichtenverkeer, zoals geautoriseerde toegang, correcte adressering  en integer datatransport, beschikbaarheid en (wettelijke) bepalingen voor  elektronische handtekening en onweerlegbaarheid.  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen via  openbare netwerken  </td> <td>  Gebruik van  openbare netwerken voor uitwisseling van informatie van uitvoeringsdiensten  vereist bescherming tegen inbraak, waarmee frauduleuze praktijken, geschillen  over contracten en onbevoegde openbaarmaking of onbevoegde wijziging kunnen  worden voorkomen.  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateway / Firewall  </td> <td>  Beveiligingsmechanisme  voor zonering en gecontroleerde toegang.  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual Private Networks (VPN)  </td> <td>  Beveiligingsmechanisme  voor het inrichten van een vertrouwd toegangspad tussen 2 of meerdere  netwerk-nodes.  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische services  </td> <td>  Versleuteling van  netwerkverkeer, met behulp van hardware of software voorzieningen, die kunnen  voorkomen op alle zeven lagen van het OSI-model. Cryptografische services voor communicatie  met partners en burgers maken gebruik van Public Key Infrastuctuur middelen,  zoals de aan certificaten gebonden private en publieke sleutels.  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  Toegang tot  draadloze netwerken bedoeld voor mobiele communicatie.  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerk connecties  </td> <td>  Verbindingen  netwerk-eindpunten (nodes) worden beheerd en zijn vastgelegd in een  netwerktopologie.  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerk authenticatie  </td> <td>  Voorziening, die  controleert of een netwerkdevice geautoriseerd is om op het netwerk te kunnen  worden aangesloten.  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerkbeheeractiviteit  </td> <td>  Activiteiten die  uitsluitend door netwerkbeheerders kunnen worden uitgevoerd op  communicatievoorzieningen.  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen netwerkevents  </td> <td>  Het uniek en  onveranderlijk vastleggen van (beveiligings) gebeurtenissen in een netwerk  (in een audit-logfile).  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerksecurityarchitectuur  </td> <td>  Beschrijving en  beelden van de structuur en onderlinge samenhang van de verschillende  beveiligingsfuncties in een netwerk.  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving richtlijnen netwerkbeheer en evaluatie.  </td> <td>  Evaluatie op de  naleving van netwerkbeveiligingsbeleid.  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerksecurity Compliance checking  </td> <td>  Periodieke  toetsing en managementrapportage over naleving van het beveiligingsbeleid  voor netwerkdiensten.  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren robuustheid  netwerkbeveiliging  </td> <td>  Toetsing van de  robuustheid (resilience) van beveiligingsfuncties in  communicatievoorzieningen.  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren gebeurtenissen (monitoring)  </td> <td>  Het beoordelen  van de (doorlopend) verzamelde security gerelateerde gebeurtenissen in  netwerken.  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  De opzet van een  toereikende organisatiestructuur voor het beheren van- en rapporteren over  netwerken en communicatievoorzieningen.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Omschrijving van de geïdentificeerde ISO-27002 objecten</caption></table>  +
BIO Thema Communicatievoorzieningen - Inleiding +. Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit de ISO27001-annex A, de BIO (Baseline Informatiebeveiliging Overheid), op de implementatiegids ISO27033 en tevens op Best Practices als: SoGP, NIST, BSI en COBIT. ==Opzet van het thema== Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO 1.0 overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI, de NIST en SoGP. NORA patronen zijn gebruikt voor figuren en begeleidende teksten. De implementatiegids ISO-27033-deel 1 t/m 6 biedt, gerelateerd aan de ISO-27002, overzicht en een technische duiding van “Network security”. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema; # scope en begrenzing; # identificatie van beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen, inclusief de referenties; # globale relaties van de geïdentificeerde beveiligingsobjecten (toepassing); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten. ==Context van Communicatiebeveiliging== De basis voor de uitwerking van het thema Communicatievoorzieningen is ISO-27002 ( als baseline voor de overheid 1:1 omgezet in de BIO). In hoofdstuk 13 daarvan worden verschillende type communicatievoorzieningen genoemd, zoals geïllustreerd in afbeelding 'Communicatiebeveiliging volgens BIO'. * openbare diensten - het gebruik van openbare diensten, zoals: Instant messaging en sociale media (vehikel); * elektronische berichten - informatie opgenomen in elektronische berichten (inhoud); * informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (inhoud); * netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel); * netwerk(infrastructuur) - dit betreft de fysieke en logische verbindingen (vehikel). Beveiligingsobjecten met bronverwijzing Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Afbeelding 'Soorten netwerkkoppelingen' schetst de belangrijkste soorten van netwerkkoppelingen: *tussen organisaties onderling; * tussen organisaties en publieke netwerken; * binnen organisaties. [[Afbeelding:Thema Communicatievoorzieningen - Soorten netwerkkoppelingen.png|thumb|350px|Soorten netwerkkoppelingen|alt=”Soorten netwerkkoppelingen”]] Doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie. De beveiligingsmaatregelen binnen ISO hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering en compartimentering, tezamen ”zonering” genoemd. Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: “Vertrouwd toegangspad” en beveiliging in “Koppelvlakken”. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment. ==Scope en Begrenzing== Dit thema omvat de set communicatiebeveiligingsobjecten en maatregelen voor netwerkvoorzieningen, zoals weergegeven in afbeelding 'Communicatiebeveiliging volgens BIO'. De uitwerking van dit thema beperkt zich tot deze type communicatie voorzieningen. NB: Hiervoor zijn de ISO implementatiegidsen: ISO27033-2- 27033-6 en NORA patronen in adviserende zin beschikbaar. De ISO27033 draagt de titel: Information technology- Networksecurity, bedoeld als implementatiegids voor de ISO27002. De ISO-27033 bestaat uit 6 delen. Deel 1 bevat algemene ‘controls’ voor communicatiebeveiliging, deel 2 beschrijft ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP netwerktoegang. Er zijn essentiële objecten uit andere baselines gebruikt, die gerelateerd zijn dit type communicatie voorzieningen. Bepaalde type communicatiefaciliteiten, zoals: VOIP, intranet en extranet zijn in dit thema niet uitgewerkt. Er wordt niet diepgaand op: * bepaalde type verbindingen, zoals VPN en Gateway verbindingen; * communicatie voorzieningen, zoals: instant messaging en email. Tabel 'Relevante beveiligingsobjecten met referentie naar standaarden' geeft een overzicht van relevante beveiligingsobjecten voor communicatievoorzieningen, afkomstig uit de ISO27002 standaard, die de BIO exact volgt qua hoofdstukindeling en controlteksten. Voor die onderwerpen waarvoor de BIO geen control heeft geformuleerd, is gerefereerd naar andere standaarden, zoals de ISO-implementatiestandaard voor Netwerkbeveiliging: ISO27033 deel 1-6, waarin tevens de relaties zijn gelegd met de ISO27002. <table class="wikitable"> <tr> <th>  Nr.  </th> <th>  Relevante  beveiligingsobjecten  </th> <th>  Referentie  naar standaarden  </th> <th>  IFGS  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  BIO:13.2.2.1,  ISO27033-1: 6.2  </td> <td>  I  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  over informatietransport  </td> <td>  BIO:13.2.2,  ISO27033-1  BSI  IT-Grundschutz: S.6  </td> <td>  F  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  voor communicatievoorzieningen  </td> <td>  BIO: 10.3.1,  18.1.5.1  ISO27033-1: 8.8,  </td> <td>  G  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  van netwerkbeheer  </td> <td>  BSI S4.2,  ISO27033-1: 8.2  ITIL: Netwerkbeheer  </td> <td>  S  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  voor netwerkbeveiliging  </td> <td>  BIO:8.2.2.3,  ISO27033-1  ISO27033-2: 6,7,8  </td> <td>  I  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedure  </td> <td>  BIO:9.4.2,  ISO27033-1: 8.4  </td> <td>  I  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  BIO:13.1.1,  ISO27033-1: 8.2, 8.2.2  </td> <td>  F  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  en geheimhoudingsovereenkomst  </td> <td>  BIO:13.2.4,  SoGP: NW1.1  </td> <td>  F  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  van netwerkdiensten  </td> <td>  BIO:13.1.2,  ISO27033-1: 10.6  </td> <td>  F  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering  en filtering  </td> <td>  BIO:13.1.3,  ISO27033-1: 10.7  ISO27033-2:  7.2.3  NORA  Patronen: Zoneringsmodel  </td> <td>  F  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  BIO:13.2.3,  ISO27033-1: 10.3, 10.8  </td> <td>  F  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen  via openbare netwerken  </td> <td>  BIO:  14.2.1  </td> <td>  F  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateways  en firewalls  </td> <td>  ISO27033-4,  SoGP: NC1.5  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual  Private Networks (VPN)  </td> <td>  ISO27033-5  NORA Patronen: Vertrouwd toegang-pad  </td> <td>  G  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische  services  </td> <td>  BIO:10, ISO27033-1:  8.2.2.5  SoGP: NC1.1  NORA  Patronen: Encryptie  </td> <td>  G  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  ISO27033-6  NORA Patronen: Draadloos netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerkconnecties  </td> <td>  BIO:8.2.2.5,  ISO27033-1  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerkauthenticatie  </td> <td>  NORA  Patronen: Beschouwingsmodel Netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerk beheeractiviteiten  </td> <td>  ISO27033-1: 8.4, ISO27033-2: 8.4  </td> <td>  G  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen  en monitoren van netwerkgebeurtenissen (events)  </td> <td>  ISO27033-1:  8.5  ISO27033-2: 8.5  </td> <td>  G  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerk beveiligingsarchitectuur  </td> <td>  BIO:9.2, ISO27033-1  ISO27033-2: 8.6  SoGP: Network design  NORA Patronen: Diverse patronen  </td> <td>  S  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving  richtlijnen netwerkbeheer en evaluaties  </td> <td>  BIO:18.2.3,  SoGP: SM1.1.1, SM3.5.2  </td> <td>  I  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerkbeveiliging  compliancy checking  </td> <td>  BIO:8.2.2.4,  ISO27033-1  ISO27033-2: 7.2.6, 8.7  </td> <td>  F  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren  van robuustheid netwerkbeveiliging  </td> <td>  BIO:18.1.2,  18.2.1,  ISO27033-1: 8.2.5, SoGP: NW1.3  </td> <td>  F  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren  van netwerkgebeurtenissen (monitoring)  </td> <td>  BIO:8.2.4,  ISO27033-1  </td> <td>  G  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  ISO27003: ISMS, SoGP: NW1.4  </td> <td>  S  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Relevante beveiligingsobjecten</caption></table> ==Relaties tussen de geïdentificeerd beveiligingsobjecten== Afbeelding 'Toepassing van beveiligingsobjecten' geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een Informatievoorzieningslandschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van Netwerk Connecties (NC) die de verschillende netwerken en informatievoorzieningen met elkaar verbinden. Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s. Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie. Cryptografische services verzorgen zonering voor gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt. In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via Wireless Access en beveiligd met o.a. netwerkauthenticatie. Een netwerkbeheerorganisatie draagt op basis van richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het ‘up-to-date’ houden van beveiligingsmaatregelen. Via vastleggen van events, evaluatie netwerkmonitoring en evalueren van netwerkbeveiliging wordt de actuele werking van de maatregelen getoetst en waar nodig versterkt. [[Afbeelding:Thema Communicatievoorzieningen - Toepassing van beveiligingsobjecten.png|thumb|350px|Toepassing van beveiligingsobjecten|alt=”Toepassing van beveiligingsobjecten”]] Meer over de technologie van de beveiligingsobjecten is te vinden op de NORA Wiki; thema Beveiliging, (www.noraonline.nl) bij de “Patronen voor informatiebeveiliging”. ==Presentatie van de objecten in de BUC/IFGS matrix== Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven, in zowel de lagen B-U-C, als in de IFGS-kolommen. De grijs ingekleurde zijn ‘generiek’. Voor de wit- ingekleurde objecten heeft de BIO geen control gedefinieerd, deze objecten zijn voor het grootste deel afkomstig uit de ISO27033 implementatiegidsen deel 1 t/m 6. [[Afbeelding:Thema Communicatievoorzieningen - Overzicht beveiligingsobjecten.png|thumb|350px|Overzicht beveiligingsobjecten|alt=”Overzicht beveiligingsobjecten”]]  +
BIO Thema Communicatievoorzieningen - Verbindingsdocument +==Inleiding en doel== Dit document biedt de gebruiker een korte samenvatting van het thema Communicatievoorzieningen en legt daarbij een verbinding tussen de BIO-norm met de uitvoeringspraktijk. Doel van dit document en elk BIO-thema, is organisaties handvatten te bieden en wegwijs te maken in welke beveiligingsnormen van toepassing zijn per aandachtsgebied en welke praktijkhulp daarbij beschikbaar is. ==Context== De basis voor de uitwerking van het thema Communicatievoorzieningen is de BIO en daarmee in het bijzonder Hoofdstuk 13 van ISO-27002; hierin worden verschillende type communicatievoorzieningen genoemd, zoals geschetst in onderstaande figuur: * Openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media (IV); * Elektronische berichten – Informatie opgenomen in elektronische berichten (Data); * Informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (Data); * Netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor de beveiligen netwerkdiensten, zoals authenticatie (IV); * Netwerk (infrastructuur) - het betreft fysieke en logische verbindingen (IV). Iedere organisatie met klantprocessen, gebruikt communicatievoorzieningen en heeft daarvoor één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via de onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. De beveiligingsmaatregelen binnen ISO hebben betrekking op de boven vermelde communicatievoorzieningen. Een van de belangrijkste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering. Hierbij zijn beveiligingsobjecten van toepassing, zoals: zonering, filtering, vertrouwd toegangspad en koppelvlakken. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium) bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. ==Beveiligingsobjecten met cross reference naar handreikingen== Tabel "Beveiligingsobjecten met bronverwijzing" geeft een overzicht van de relevante, voor communicatiebeveiliging toe te passen beveiligingsobjecten, die afgeleid zijn van BIO-controls met een verwijzing naar praktische handreikingen. Daar waar er sprake is van een 1:1 relatie met BIO-controls, is dat hieronder aangegeven. De handreikingen zijn de door ISO gepubliceerde implementatiegidsen zoals ISO27033, de NIST, de Standard of Good Practice van ISF en NORA patronen. Hieronder is gekozen voor een alfabetische bronverwijzing per document, waarbij na de letter, b.v: a) het hoofdstuk/paragraaf wordt vermeld. De Bronverwijzing geeft het Documentnaam, Versie, Eigenaar en Toelichting. Voor dreigingen, aanbevelingen, planning en ontwerp van organisatie en techniek, kan de BSI: IT-Grundschutz catalogues worden geraadpleegd, die vrij toegankelijk is op internet; zie bronverwijzing. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0lax">  Beveiligingsobject  </th> <th class="tg-0lax">  BIO Control  </th> <th class="tg-0lax">  Handreikingen  Zie Bronverwijzing voor  documentnaam en details.  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  Beleid en procedures  informatietransport  </td> <td class="tg-0lax">  13.2.1  </td> <td class="tg-0lax">  a)-6.2  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  Overeenkomsten  informatietransport  </td> <td class="tg-0lax">  13.2.2  </td> <td class="tg-0lax">  g)-S.6  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  Cryptografiebeleid  </td> <td class="tg-0lax">  10.1.1; 18.1.5.1  </td> <td class="tg-0lax">  a)- 8.8  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  Organisatiestructuur  Netwerkbeheer  </td> <td class="tg-0lax">  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2, l)  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  Richtlijnen  netwerkbeveiliging  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a) -8.2.2.3, b)-6,7,8  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  Beveiligde  inlogprocedure  </td> <td class="tg-0lax">  9.4.2  </td> <td class="tg-0lax">  a)-8.4  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  Netwerk  beveiligingsbeheer   </td> <td class="tg-0lax">  13.1.1  </td> <td class="tg-0lax">  a)-8.2  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  Vertrouwelijkheid/geheimhoudingsovereenkomst  </td> <td class="tg-0lax">  13.2.4  </td> <td class="tg-0lax">  j) Roles and Responsibilities NW1.1  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  Beveiliging  netwerkdiensten  </td> <td class="tg-0lax">  13.1.2  </td> <td class="tg-0lax">  a)-10.6  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  Zonering en  filtering  </td> <td class="tg-0lax">  13.1.3  </td> <td class="tg-0lax">  a)-10.7, b)-7.2.3,  i)-Zoneringsmodel  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  Elektronische  berichten  </td> <td class="tg-0lax">  13.2.3  </td> <td class="tg-0lax">  a)-10.3, 10.8  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  Toepassingen via  openbare netwerken  </td> <td class="tg-0lax">  14.2.1  </td> <td class="tg-0lax">     </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  Gateway / Firewall  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  d) geheel, i)-NORA  Koppelvlak, j)-NC1.5  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  Virtual Private  Networks (VPN)  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  e) geheel, i)-NORA Vertrouwd  toegangspad  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  Cryptografische service  </td> <td class="tg-0lax">  Hoofdstuk 10  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Encryptie patronen, j) NC1.1  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  Wireless Access  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  f) geheel, i)-NORA  Draadloos netwerk  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <tr> <td class="tg-0lax">  Netwerk connecties  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Koppelvlak  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk  authenticatie  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  i)-NORA  Beschouwingsmodel Netwerk  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerkbeheeractiviteit  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  a), b)-8.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Vastleggen  netwerkevents  </td> <td class="tg-0lax">  12.4  </td> <td class="tg-0lax">  a), b)-8.5  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security  architectuur  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-9.2, b)-8.6, NORA div. patronen, j) Network design  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Naleving richtlijnen  netwerkbeheer en evaluaties  </td> <td class="tg-0lax">  18.2.2  </td> <td class="tg-0lax">  j) Corporate Governance: SM1.1.1, SM3.5.2  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security compliancy checking  </td> <td class="tg-0lax">  18.2.3  </td> <td class="tg-0lax">  a)-8.2.2.4, b)-7.2.6, 8.7  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren robuustheid  netwerkbeveiliging  </td> <td class="tg-0lax">  18.2.1,  18.1.2,  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2.5, j) Network resilience: NW1.3  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren  gebeurtenissen (monitoring)  </td> <td class="tg-0lax">  16.1  </td> <td class="tg-0lax">  a)-8.2.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Beheersorganisatie Netwerkbeveiliging  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  n), j) Network  Documentation: NW 1.4  </td> <td class="tg-0lax"></td> <caption align="bottom">Communicatievoorzieningen, ISOR:Communicatievoorzieningen - Beveiligingsobjecten met bronverwijzing</caption></table> [[Categorie:ISOR]]‏ [[Categorie:BIO Thema Communicatievoorzieningen]] ==Overzicht objecten gepositioneerd in BUC/IFGS matrix== Hieronder zijn alle onderwerpen voor communicatiebeveiliging samengevat. Vervolgens worden deze onderwerpen (objecten) verbonden aan BIO-‘controls’, of aan controls uit andere relevante standaarden. De figuur 'Voor Communicatievoorzieningen relevante beveiligingsobjecten' is het resultaat van een volledigheidsanalyse, uitgevoerd met de SIVA methode (zie: SIVA toepassingssystematiek). De wit ingekleurde objecten zijn relevant voor het thema, maar ontbreken als control in de ISO 27002. Ze zijn afkomstig uit andere standaarden en ISO implementatiegidsen (zie: cross-reference). [[Afbeelding:Thema Communicatievoorzieningen - Voor Communicatievoorzieningen relevante beveiligingsobjecten.png|thumb|350px|Voor Communicatievoorzieningen relevante beveiligingsobjecten|alt=”Voor Communicatievoorzieningen relevante beveiligingsobjecten”]] ==Bronverwijzing== Onderstaande lijst van brondocumenten verwijst waar mogelijk naar publiek- toegankelijke documenten. * Om ‘dode’ verwijzingen te voorkomen is minimaal gebruik gemaakt van links. * Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. * Op NEN-ISO/IEC documenten rusten licentierechten; voor de overheid zijn deze afgekocht (log in via NEN-connect). * Voor raadplegen van ISF documenten, zoals o.a. de SoGP moet de gebruikersorganisatie lid zijn van het ISF. * IT-Grundschutz, NORA en NIST zijn vrij toegankelijk op internet. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-s268">  Nr.  </th> <th class="tg-0lax">  Documentnaam  </th> <th class="tg-0lax">  Versie  </th> <th class="tg-0lax">  Eigenaar  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  a)  </td> <td class="tg-0lax">  ISO  27033 Deel 1  </td> <td class="tg-0lax">  Aug  2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  b)  </td> <td class="tg-0lax">  ISO  27033 Deel 2  </td> <td class="tg-0lax">  Aug 2012  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  c)  </td> <td class="tg-0lax">  ISO  27033 Deel 3  </td> <td class="tg-0lax">  Dec 2010  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  d)  </td> <td class="tg-0lax">  ISO  27033 Deel 4  </td> <td class="tg-0lax">  Feb  2014  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  e)  </td> <td class="tg-0lax">  ISO  27033 Deel 5  </td> <td class="tg-0lax">  Aug  2013  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  f)  </td> <td class="tg-0lax">  ISO  27033 Deel 6  </td> <td class="tg-0lax">  Juni  2016  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  g)  </td> <td class="tg-0lax">  BSI: IT-Grundschutz  </td> <td class="tg-0lax">  2013  </td> <td class="tg-0lax">  DE  gov.  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  h)  </td> <td class="tg-0lax">  NIST  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  US gov.  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  i)  </td> <td class="tg-0lax">  NORA,  thema beveiliging  </td> <td class="tg-0lax">  Wiki  </td> <td class="tg-0lax">  NL gov.  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  j)  </td> <td class="tg-0lax">  ISF  Standard of Good Practice (SoGP)  </td> <td class="tg-0lax">  2007  </td> <td class="tg-0lax">  ISF  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  k)  </td> <td class="tg-0lax">  NCSC  (diverse documenten)  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  NCSC  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  l)  </td> <td class="tg-0lax">  ITIL  </td> <td class="tg-0lax">  Versie 3  </td> <td class="tg-0lax">  ITIL foundation  </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  m)  </td> <td class="tg-0lax">  ISO 18033-1 General  </td> <td class="tg-0lax">  Aug 2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  n)  </td> <td class="tg-0lax">  ISO 27003 ISMS  </td> <td class="tg-0lax">  Apr 2017  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  o)  </td> <td class="tg-0lax">  ISO 18033-2  </td> <td class="tg-0lax">  Juni  2006  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  p)  </td> <td class="tg-0lax">  SIVA toepassingssystematiek  </td> <td class="tg-0lax">  Versie  0.4  </td> <td class="tg-0lax">  Werkgroep Normatiek  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Bronverwijzing</caption></table> [[Categorie:ISOR]] [[Categorie:BIO Thema Communicatievoorzieningen]]  +
BIO Thema Huisvesting Informatievoorziening +Dit document bevat een referentiekader voor Huisvesting Informatievoorziening (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BOI v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST en Cobit. <br /> Afbeelding 'Positie van het themadocument "Huisvesting Informatievoorziening' geeft de positie weer van het themadocument "BIO thema Huisvesting Informatievoorziening". [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|300px|Positie van het themadocument "Huisvesting Informatievoorziening|alt=”Positie van het themadocument "Huisvesting Informatievoorziening”]] <br /> Afbeelding 'Overzicht van thema’s en de positie van Huisvesting IT Infrastructuur' geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur.png|thumb|Left|500px|Overzicht van thema's en de positie van Huisvesting IT Infrastructuur|Alt="Overzicht van thema's en de positie van Huisvesting IT Infrastructuur"]]  +
BIO Thema Huisvesting Informatievoorziening - Inleiding +==Inleiding== Dit document bevat een referentiekader voor Huisvesting Informatievoorzieningen (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BIO v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST, en Cobit. Onderstaande afbeelding geeft de relatie weer tussen het thema Huisvesting Informatievoorziening, verder genoemd Huisvesting Informatievoorziening, en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema’s en positie van Huisvesting IT Infrastructuur.png|thumb|left|500px|Overzicht van thema’s en positie van Huisvesting IT Infrastructuur|alt=”Overzicht van thema’s en positie van Huisvesting IT Infrastructuur”]] ==Huisvesting Informatievoorziening== In dit document wordt een set beveiligingsmaatregelen met betrekking tot het thema Huisvesting Informatievoorziening uitgewerkt. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (bronobjecten) uit de ISO 27001 (2013) en BIR 2017/BIO 2017 v0.5. Eventueel ontbrekende bronobjecten, die uit analyses voortvloeien, worden betrokken uit andere baselines, zoals Standard of Good Practice, NIST en uit Handboeken van organisaties die in de praktijk gehanteerd worden. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in onderstaande afbeelding weergegeven. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|200px|Relatie documenten en thema|alt=”Relatie documenten en thema”]] De bronobjecten uit de ISO-norm en uit de BIR en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de bronobjecten en de bijbehorende maatregelen georganiseerd zijn in drie domeinen: Beleid, Uitvoering en Control. Onderstaande afbeelding schetst de structuur waarin een relatie wordt gelegd tussen het objecten binnen het Beleiddomein, het Uitvoering domein en het Controldomein voor Huisvesting Informatievoorziening. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie tussen de Beleid, Uitvoering en Control objecten.png|thumb|left|500px|Relatie tussen de Beleid, Uitvoering en Control objecten|alt=”Relatie tussen de Beleid, Uitvoering en Control objecten”]] ==Scope en begrenzing van Huisvesting Informatievoorziening== De eisen die gesteld moeten worden aan Huisvesting Informatievoorziening, worden in het bijzonder bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT diensten en de daarvoor benodigde Huisvesting. Het management van de doelorganisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type Huisvesting Informatievoorziening past bij de organisatie. De volgende drie opties zijn mogelijk: *''Fysieke Huisvesting'': bij deze de traditionele Huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie en welke onder beheer is van de doelorganisatie. *''Modulaire Huisvesting'': bij deze vorm van de Huisvesting is het rekencentrum ondergebracht in mobiele bouwblokken, welke flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers). *''Virtuele Huisvesting'': bij deze vorm van Huisvesting is het rekencentrum ondergebracht in de cloud; dit kan zowel een private als public cloud zijn. Bij deze vorm van Huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie; men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals IAAS, PAAS of SAAS. Afhankelijk van de gemaakte inrichtingskeuze voor de Huisvesting Informatievoorziening, zijn normen voor Huisvesting in meer of mindere mate van toepassing. In dit document beschrijft optie 1:‘Fysieke Huisvesting’ en daarbij de generieke objecten m.b.t. Huisvesting Informatievoorziening, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit Huisvestingsbeleid (Beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het Uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (Controldomein). [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|left|500px|Overzicht Fysieke Huisvesting Informatievoorziening|alt=”Overzicht Fysieke Huisvesting Informatievoorziening”]] ==Aanpak uitwerking thema Huisvesting Informatievoorziening== Het Toelichtingdocument schetst de standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.  +
BIO Thema Huisvesting Informatievoorziening - Objecten voor Huisvesting Informatievoorziening +Huisvesting Informatievoorziening objecten uit de baseline ===Schematische weergave generieke Huisvesting Informatievoorziening objecten=== Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting Informatievoorziening worden in afbeelding 'Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten' weergegeven. De elementen worden toegelicht op basis van de driedeling: Beleid, Uitvoering en Control. [[Afbeelding:Thema Huisvesting - Schematische weergave van de fysieke Huisvesting-IV objecten.png|thumb|left|500px|Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten|alt=”Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten”]] ''Beleiddomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening randvoorwaarden; dit zijn objecten die als randvoorwaarden gelden voor de gehele Huisvesting Informatievoorziening, zoals beleid, wet en regelgeving, contracten en organisatiestructuur. In [[BIO Thema Huisvesting Informatievoorziening Beleidsdomein]] worden de relevante objecten behandeld. ''Uitvoeringsdomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening een scala aan componenten die grofweg zijn onder te verdelen in: terrein, gebouwen, faciliteiten en werkruimten en voorzieningen. ** Terrein betreft de locaties van de Huisvesting Informatievoorziening. * Gebouwen, faciliteiten en werkruimten zijn de aan Huisvesting Informatievoorziening georiënteerde objecten, die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Onder het fysieke bestaan vallen ook de terreinen en de zonering (in ruimten) van gebouwen. ** Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van Huisvesting Informatievoorziening. Dit is gericht op: bedrijfsmiddelen en nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. Met andere woorden: dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren Huisvesting Informatievoorziening diensten. In [[BIO Thema Huisvesting Informatievoorziening Uitvoering]] worden de relevante objecten behandeld. ''Controldomein'' * Binnen het Uitvoeringsdomein bevat de Huisvesting Informatievoorziening beoordelingsrichtlijnen en procedures; de beoordelingsrichtlijnen zijn vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en van de uitvoeringscomponenten. In [[BIO Thema Huisvesting Informatievoorziening Control]] worden de relevante objecten behandeld. ===Identificatie Huisvesting Informatievoorziening objecten=== nog nader in te bepalen ===De organisatie van Huisvesting Informatievoorziening objecten=== De geïdentificeerde Huisvesting Informatievoorziening objecten zijn op basis van de lagenstructuur: Beleid, Uitvoering en Controldomein georganiseerd; hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: * ''Beleid'': Binnen dit domein bevinden zich conditionele elementen over de Huisvesting Informatievoorziening. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en 'verboden’, zoals Huisvesting Informatievoorziening beleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. * ''Uitvoering'': Binnen dit domein bevinden zich: ** elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van Huisvesting Informatievoorziening; ** elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; ** elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. * ''Control'': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot Huisvesting Informatievoorziening en of deze wel naar wens verlopen. ==Huisvesting Informatievoorziening objecten geprojecteerd op BUC en gesorteerd naar IFGS== Tabel 'Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC' bevat de relevante items, welke in samenhang de bescherming van Huisvesting Informatievoorziening bewerkstelligen. Deze items worden in de BIO themadocumenten objecten genoemd. De meeste objecten zijn in de vorm van een beheersmaatregel al van kracht vanuit de ISO-27001. Objecten zijn generiek gemaakt, omdat ze in veel gevallen ook relevant zijn voor andere thema’s en daarom hergebruikt kunnen worden. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de BIO. Objecten die aanvullend aan de ISO norm voor de beveiliging nodig geacht worden van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald; deze relateren zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. NB: Deze zijn vanuit de beschikbare expertise van de schrijfgroep BIO nodig geacht, waarbij SIVA als modelleringstool wordt gebruikt. <table class="wikitable"> <tr> <th>Beleid domein</th> <th>Nr</th> <th>Generieke objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B 01</td> <td>Huisvesting Informatievoorziening beleid</td> <td>27002:5.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 02</td> <td>Wet en regelgeving</td> <td>27002:18.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 03</td> <td>Eigenaarschap</td> <td>27002:8.1.2</td> <td>I</td> <td></td> </tr> <tr> <td>B.04</td> <td>Certificering</td> <td>Uit SIVA analyse, ITIL</td> <td>I</td> <td></td> </tr> <tr> <td>B.05</td> <td>Contract management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B.06</td> <td>Servicelevel management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B 07</td> <td>Interne en externe bedreigingen</td> <td>27002:11.1.4</td> <td>F</td> <td></td> </tr> <tr> <td>B 08</td> <td>Training en awareness</td> <td>27002:7.2.2</td> <td>G</td> <td></td> </tr> <tr> <td>B.09</td> <td>Organisatiestructuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Uitvoering domein</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>U.01</td> <td>Richtlijnen gebieden en ruimten</td> <td>27002:11.1.5</td> <td>I</td> <td></td> </tr> <tr> <td>U.02</td> <td>Bedrijfsmiddelen inventaris</td> <td>27002:8.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>U.03</td> <td>Fysieke zonering</td> <td>27002:11.1.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.04</td> <td>Beveiligingsfaciliteiten ruimten</td> <td>27002:11.1.3</td> <td>F</td> <td></td> </tr> <tr> <td>U.05</td> <td>Nutsvoorzieningen</td> <td>27002:11.2.2</td> <td>F</td> <td></td> </tr> <tr> <td>U.06</td> <td>Apparatuur positionering</td> <td>27002:11.2.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.07</td> <td>Apparatuur onderhoud</td> <td>27002:11.2.4</td> <td>F</td> <td></td> </tr> <tr> <td>U.08</td> <td>Apparatuur verwijdering</td> <td>127002:1.2.7</td> <td>F</td> <td></td> </tr> <tr> <td>U.09</td> <td>Bedrijfsmiddelen verwijdering</td> <td>27002:11.2.5</td> <td>F</td> <td></td> </tr> <tr> <td>U.10</td> <td>Laad- en los locatie</td> <td>27002:11.1.6</td> <td>G</td> <td></td> </tr> <tr> <td>U.11</td> <td>Bekabeling</td> <td>27002:11.2.3</td> <td>G</td> <td></td> </tr> <tr> <td>U.12</td> <td>Huisvesting Informatievoorziening Architectuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Control domein(beheersing)</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>C.01</td> <td>Controlerichtlijnen Huisvesting-IV</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.02</td> <td>Onderhoudsplan</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.03</td> <td>Continuïteit beheer(BCMS)</td> <td>Uit SIVA analyse ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>C.04</td> <td>Huisvesting Informatievoorziening beheersorganisatie</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <caption align="bottom">Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC</caption></table> ==Omschrijvingen van generieke objecten== Tabel 'Omschrijvingen van generieke objecten uit ISO/BIR met aanvullende generieke objecten' bevat een nadere omschrijving voor de vastgestelde generieke objecten uit ISO/BIO en aanvullende generieke objecten. <table class="wikitable"><caption align="bottom">Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten</caption><tr style="background-color:#d9d9d9"><td> Nr. </td> <td> ISO </td> <td> Generiek object </td> <td> Omschrijving generiek object gericht op Huisvesting-IV </td></tr><tr><td> 1. </td> <td> 5.1.1. </td> <td> Huisvestingsbeleid </td> <td> Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten. </td></tr><tr><td> 2. </td> <td> 7.2.2. </td> <td> Training en Awareness </td> <td> Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid. </td></tr><tr><td> 3. </td> <td> 7.1.2. </td> <td> Eigenaarschap </td> <td> Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker. </td></tr><tr><td> 4. </td> <td> 18.1.1. </td> <td> Wet- en Regelgeving </td> <td> Door de overheid afgevaardigde Wet- en regelgeving. </td></tr><tr><td> 5. </td> <td> X </td> <td> Huisvestingsorganisatie </td> <td> Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources. </td></tr><tr><td> 6. </td> <td> X </td> <td> Huisvestingsarchitectuur </td> <td> De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV). </td></tr><tr><td> 7. </td> <td> X </td> <td> Contractmanagement </td> <td> Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd. </td></tr><tr><td> 8. </td> <td> X </td> <td> Servicelevelmanagement </td> <td> Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt. </td></tr><tr><td> 9. </td> <td> X </td> <td> Certificering </td> <td> Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie. </td></tr><tr><td> 10. </td> <td> 8.1.1. </td> <td> Bedrijfsmiddelen inventaris </td> <td> Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn. </td></tr><tr><td> 11. </td> <td> 11.1.1. </td> <td> Fysieke zonering </td> <td> Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten. </td></tr><tr><td> 12. </td> <td> 11.1.3. </td> <td> Beveiligingsfaciliteiten </td> <td> Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden. </td></tr><tr><td> 13. </td> <td> 11.1.4. </td> <td> Interne en Externe bedreigingen </td> <td> Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten. </td></tr><tr><td> 14. </td> <td> 11.1.5. </td> <td> Richtlijnen gebieden en ruimten </td> <td> Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien. </td></tr><tr><td> 15. </td> <td> 11.1.6. </td> <td> Laad- en los locatie </td> <td> Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen. </td></tr><tr><td> 16. </td> <td> 11.2.1. </td> <td> Apparatuur positionering </td> <td> Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie. </td></tr><tr><td> 17. </td> <td> 11.2.2. </td> <td> Nutsvoorzieningen </td> <td> Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden. </td></tr><tr><td> 18. </td> <td> 11.2.3. </td> <td> Bekabeling </td> <td> Middel voor energietransport van een bron naar een bestemming. </td></tr><tr><td> 19. </td> <td> 11.2.4. </td> <td> Apparatuur onderhoud </td> <td> Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden. </td></tr><tr><td> 20. </td> <td> 11.2.7. </td> <td> Apparatuur verwijdering </td> <td> Het verwijderen van apparatuur volgens een geregistreerde procedure. </td></tr><tr><td> 21. </td> <td> 11.2.5. </td> <td> Bedrijfsmiddel verwijdering </td> <td> Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens). </td></tr><tr><td> 22. </td> <td> X </td> <td> Controlerichtlijn Huisvesting-IV </td> <td> Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde. </td></tr><tr><td> 23. </td> <td> X </td> <td> Onderhoudsplan </td> <td> Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden. </td></tr><tr><td> 24. </td> <td> X </td> <td> Huisvestings- beheersorganisatie </td> <td> De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd. </td></tr><tr><td> 25. </td> <td> X </td> <td> Continuïteitsmanagement </td> <td> Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen. </td></tr><tr><td> </td> <td style="background-color:#f2f2f2" colspan="2">X = Aanvullend vanuit analyse </td> </tr></table> ===Objecten binnen BUC domeinen en gerelateerd aan basiselementen=== ''Beleiddomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Beleiddomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Beleid domein, gerelateerd aan basiselementen|alt=”Objecten binnen Beleiddomein, gerelateerd aan basiselementen”]] ''Uitvoeringsdomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Uitvoering domein, gerelateerd aan basiselementen|alt=”Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen”]] ''Controldomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Controldomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Control domein, gerelateerd aan basiselementen|alt=”Objecten binnen Controldomein, gerelateerd aan basiselementen”]]  +
BIO Thema Huisvesting Informatievoorziening - Verbindingsdocument +==Context beveiliging Huisvesting-IV== [[Afbeelding:Thema Huisvesting - Verbindingsniveau voor huisvesting.png|thumb|none|250px|Verbindingsniveau voor Huisvesting Informatievoorziening|alt=”Verbindingsniveau voor Huisvesting Informatievoorziening”]] Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging. Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas. Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening. Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV). [[Afbeelding:Thema Huisvesting - Context Huisvesting-IV.png|thumb|none|600px|Context Huisvesting Informatievoorziening|alt=”Context Huisvesting Informatievoorziening”]] Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM). [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|none|700px|Essentiële objecten in het uitvoering domein|alt=”Essentiële objecten in het uitvoering domein”]] Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur. [[Afbeelding:Thema Huisvesting - Objecten in het uitvoeringsdomein.png|none|thumb|500px|Objecten in het uitvoering domein|alt=”Objecten in het uitvoering domein”]] Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie. *'''Terrein''' – de omheinde, beschermde locaties van de Huisvesting IV *'''Gebouwen''' – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten. *'''Voorzieningen''' – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). *'''Faciliteiten''' - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc. Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten. ==Generieke objecten== Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen. <table class="wikitable"><tr style="background-color:#d9d9d9"><th> Nr </th> <th> Bron: ISO/BIO of alternatief </th> <th> Generieke objecten </th></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffcc00">Huisvestingsbeleid </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffcc00">Training en Awareness </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffcc00">Eigenaarschap </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffcc00">Wet en regelgeving </td></tr><tr><td>5. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Organisatie </td></tr><tr><td>6. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Architectuur </td></tr><tr><td>7. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Contractmanagement </td></tr><tr><td>8. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Servicelevelmanagement </td></tr><tr><td>9. </td> <td>idem -> NIST </td> <td style="background-color:#ffcc00">Certificering </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen inventaris </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">Fysieke zonering </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">Fysieke toegangsbeveiliging </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">Beveiligingsfaciliteit </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">Interne en Externe bedreigingen </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">Richtlijnen gebieden en ruimten </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">Laad- en loslocatie </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">Apparatuur positionering </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">Nutsvoorzieningen </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">Bekabeling </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">Apparatuur onderhoud </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen verwijdering </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">Apparatuur verwijdering </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">Registratieprocedure </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">Beoordeling Fysieke toegangsrechten </td></tr><tr><td>25. </td> <td>Uit SIVA analyse </td> <td style="background-color:#99ccff">Controle richtlijn Huisvesting-IV </td></tr><tr><td>26. </td> <td>idem </td> <td style="background-color:#99ccff">Onderhoudsplan </td></tr><tr><td>27. </td> <td>idem </td> <td style="background-color:#99ccff">Huisvestingsbeheerorganisatie </td></tr><tr><td>28. </td> <td>idem -> ITIL </td> <td style="background-color:#99ccff">Continuïteitsmanagement </td></tr> <caption align="bottom">Tabel 6: Vastgestelde generieke objecten</caption></table> <table style="border: 1px solid #888"><caption>Legenda</caption> <tr> <td style="background-color:#ffd966; width:3em;"> </td> <td>[[Beveiligingsaspect Beleid|Beleid]] </td></tr><tr> <td style="background-color:#ff9999"> </td> <td>[[Beveiligingsaspect Uitvoering|Uitvoering]] </td></tr><tr> <td style="background-color:#99ccff"> </td> <td>[[Beveiligingsaspect Control|Control]] </td></tr></table> Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001. De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. ==Positionering van objecten gerelateerd aan SIVA basiselementen== [[Afbeelding:Thema Huisvesting - Objecten in hun B-U-C domein.png|thumb|none|500px|Objecten in hun B-U-C domein|alt=”Objecten in hun B-U-C domein”]] Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data. ==Cross Reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. <table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen</caption> <tr><td>Nr. </td> <td>Bron:ISO… </td> <td>  </td> <td>Onderwerp </td> <td>Referentie naar praktijktoepassing(Verwijzing naar brondocumenten) </td></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Huisvestingsbeleid </td> <td>a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e) </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffd966">B </td> <td>Training en Awareness </td> <td>a):H4, h), j), i </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Eigenaarschap </td> <td>a):H2 (voor rijk), j), i) </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Wet en regelgeving </td> <td>i) </td></tr><tr><td>5. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Organisatie </td> <td>a):H4 </td></tr><tr><td>6. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Architectuur </td> <td>i), Richtlijnen - Rijks vastgoedbedrijf (RVB) </td></tr><tr><td>7. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Contractmanagement </td> <td>a):H8, f) </td></tr><tr><td>8. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Servicelevelmanagement </td> <td>f) </td></tr><tr><td>9. </td> <td>NIST </td> <td style="background-color:#ffd966">B </td> <td>Certificering </td> <td>g) </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen inventaris </td> <td>i) </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">U/GB </td> <td>Fysieke zonering </td> <td>a): H6, c), e), i) </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Fysieke toegangsbeveiliging </td> <td>a): H6, b), c), i) </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Beveiligingsfaciliteit </td> <td>NKBR 5.4 voor sleutelplan </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">U </td> <td>Interne en Externe bedreigingen </td> <td>i), k) </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">U/GB </td> <td>Richtlijnen gebieden en ruimten </td> <td>a):geheel document, j), i), o) </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">U/GB </td> <td>Laad- en loslocatie </td> <td>a):H6 </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur positionering </td> <td>a):H7 voor beveiligingsvoorzieningen, i), o) </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Nutsvoorzieningen </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bekabeling </td> <td>i), o), Richtlijnen - RVB </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur onderhoud </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen verwijdering </td> <td>i) </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur verwijdering </td> <td>i) </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">C </td> <td>Registratieprocedure </td> <td>i) </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">C </td> <td>Beo. Fysieke toegangsrechten </td> <td>i) </td></tr><tr><td>25. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Controle richtlijn Huisvesting-IV </td> <td>? Richtlijnen - RVB </td></tr><tr><td>26. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Onderhoudsplan </td> <td>? Richtlijnen - RVB </td></tr><tr><td>27. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Huisvestingsbeheerorganisatie </td> <td>a):H4 </td></tr><tr><td>28. </td> <td>ITIL </td> <td style="background-color:#99ccff">C </td> <td>Continuïteitsmanagement </td> <td>i), l, m), o), ITIL documentatie </td></tr></table> Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. ==Brondocumenten== Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. <table class="wikitable"><caption align="bottom">Bronverwijzing</caption><tr ><td> Nr. </td> <td> Documentnaam </td> <td> Versie + datum </td> <td> Eigenaar </td> <td> Toelichting </td></tr><tr ><td> a) </td> <td> Normenkader Beveiliging Rijkskantoren (NKBR) </td> <td> 2.02-10-2015 </td> <td> ICBRBzK </td> <td> Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V) </td></tr><tr ><td> b) </td> <td> Kader Rijkstoegangs-beleid </td> <td> 1.0 van 11/5/10 </td> <td> ICBR </td> <td> Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’ </td></tr><tr ><td> c) </td> <td> Zoneringsmodel rijkskantoren </td> <td> 5-jul-11 </td> <td> BzK </td> <td> Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB) </td></tr><tr ><td> d) </td> <td> Richtlijnen Rijks Vastgoedbedrijf (RVB) </td> <td> volgt </td> <td> RVB </td> <td> Nader te bepalen set van eisen in samenspraak met RVB </td></tr><tr ><td> e) </td> <td> NIST PE Physical and Environ-mental Protection (PE) </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering </td></tr><tr ><td> f) </td> <td> NIST MA System Mainenance Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor beheersingsprocedures </td></tr><tr ><td> g) </td> <td> NIST CA Security Assessment and Authorization Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor Certificering van organisaties </td></tr><tr ><td> h) </td> <td> NIST AT Awaress and Training Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers </td></tr><tr ><td> i) </td> <td> NIST CM Configuration Management Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures </td></tr><tr ><td> j) </td> <td> Standard of Good Practice (SoGP) </td> <td> Periodiek </td> <td> ISF </td> <td> Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen </td></tr><tr ><td> k) </td> <td> KWAS </td> <td> Periodiek </td> <td> NCSC </td> <td> Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit </td></tr><tr ><td> l) </td> <td> NEN-ISO-22323 </td> <td> 2012 </td> <td> BzK </td> <td> Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief </td></tr><tr ><td> m) </td> <td> NORA patronen voor bedrijfs-continuïteit / BCM </td> <td> 2014 </td> <td> BzK </td> <td>https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt </td></tr><tr ><td> n) </td> <td> BIR 1.0 </td> <td> 2011 </td> <td> BzK </td> <td> BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013 </td></tr><tr ><td> o) </td> <td> Telecommunication Infrastructure Standard for Data Centers (TIA-942) </td> <td> Periodiek </td> <td> ieee802.org /ANSI </td> <td> Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet </td></tr></table> Op NEN-ISO documenten rusten licentierechten.  +
BIO Thema Serverplatform - Beveiligingsobjecten van het serverplatform +==Beveiligingsobjecten serverplatform== Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn: * welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten. ===Vaststellen van beveiligingsobjecten voor serverplatform=== Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen. <table class="wikitable"> <tr> <th > Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > B.01 </td> <td > Beleid voor beveiligde inrichting en onderhoud </td> <td > BIO/14.2.1 </td> <td > I </td> </tr> <tr> <td > B.02 </td> <td > Principes voor inrichten van beveiligde servers </td> <td > BIO/14.2.5 </td> <td > I </td> </tr> <tr> <td > B.03 </td> <td > Serverplatform architectuur </td> <td > SoGP/SD2.2 (afgeleid uit) </td> <td > S </td> </tr> <tr> <td > U.01 </td> <td > Bedieningsprocedure </td> <td > BIO/12.1.1 </td> <td > I </td> </tr> <tr> <td > U.02 </td> <td > Standaarden voor configuratie van servers </td> <td > SoGP/SY1.2 </td> <td > I </td> </tr> <tr> <td > U.03 </td> <td > Malwareprotectie </td> <td > BIO/12.2.1 </td> <td > F </td> </tr> <tr> <td > U.04 </td> <td > Beheer van serverkwetsbaarheden </td> <td > BIO/12.6.1 </td> <td > F </td> </tr> <tr> <td > U.05 </td> <td > Patch-management </td> <td > BIO/12.6.1, NCSC/WA </td> <td > F </td> </tr> <tr> <td > U.06 </td> <td > Beheer op afstand </td> <td > BIO/6.2.2 (Afgeleid) </td> <td > F </td> </tr> <tr> <td > U.07 </td> <td > Onderhoud van serverapparatuur </td> <td > BIO/11.2.4 </td> <td > F </td> </tr> <tr> <td > U.08 </td> <td > Veilig verwijderen of hergebruiken van serverapparatuur </td> <td > BIO/11.2.7 </td> <td > F </td> </tr> <tr> <td > U.09 </td> <td > Hardenen van servers </td> <td > SoGP/SYS1.25 en SYS12.8 </td> <td > G </td> </tr> <tr> <td > U.10 </td> <td > Serverconfiguratie </td> <td > SoGP/SY1.2 </td> <td > G </td> </tr> <tr> <td > U.11 </td> <td > Virtueel serverplatform </td> <td > SoGP/SY1.3 </td> <td > G </td> </tr> <tr> <td > U.12 </td> <td > Beperking van software- installatie </td> <td > BIO/12.6.2 </td> <td > G </td> </tr> <tr> <td > U.13 </td> <td > Kloksynchronisatie </td> <td > BIO/12.4.4 </td> <td > G </td> </tr> <tr> <td > U.14 </td> <td > Ontwerpdocumentatie </td> <td > SoGP/12.4.4 </td> <td > S </td> </tr> <tr> <td > C.01 </td> <td > Evaluatie van richtlijnen voor servers en serverplatforms </td> <td > BIO/10.10 2 (versie 2007) </td> <td > I </td> </tr> <tr> <td > C.02 </td> <td > Beoordeling technische serveromgeving </td> <td > BIO/18.2.3 </td> <td > F </td> </tr> <tr> <td > C.03 </td> <td > Logbestanden beheerders </td> <td > BIO/12.4.3 </td> <td > G </td> </tr> <tr> <td > C.04 </td> <td > Registratie van gebeurtenissen </td> <td > BIO/12.4.1 </td> <td > G </td> </tr> <tr> <td > C.05 </td> <td > Monitoren van servers en serverplatforms </td> <td > NIST/AU-6 </td> <td > G </td> </tr> <tr> <td > C.06 </td> <td > Beheerorganisatie servers en serverplatforms </td> <td > CIP Domeingroep BIO </td> <td > S </td> </tr> <caption align="bottom">Serverplatform, Overzicht van de relevante beveiligingsobjecten voor het serverplatform</caption></table> ===Globale relaties tussen de geïdentificeerde beveiligingsobjecten=== Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders. [[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|none|350px|Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]] ''Beleiddomein'' Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen. ''Uitvoeringsdomein'' De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform: * initiële installatie de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie), * beveiligings- en beheerfuncties de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden, * feature configuratie Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen. * structuur en ontwerp De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd. ''Controldomein '' Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.  +
BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjecten +. <table class="wikitable"> <tr> <th class="tg-s268">Nr.</th> <th >Relevante beveiligingsobjecten</th> <th >Omschrijving</th> </tr> <tr> <td >B.01</td> <td >Beleid voor(beveiligd) onderhouden van serverplatforms</td> <td >Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.</td> </tr> <tr> <td >B.02</td> <td >Principes serverplatform beveiliging</td> <td >Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".</td> </tr> <tr> <td >B.03</td> <td >Serverplatform Architectuur</td> <td >Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.</td> </tr> <tr> <td >U.01</td> <td >Bedieningsprocedure</td> <td >Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.</td> </tr> <tr> <td >U.02</td> <td >Standaarden voor configuratie servers</td> <td >Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.</td> </tr> <tr> <td >U.03</td> <td >Malwareprotectie</td> <td >Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.</td> </tr> <tr> <td >U.04</td> <td >Beheer van server kwetsbaarheden</td> <td >Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.</td> </tr> <tr> <td >U.05</td> <td >Patch-management</td> <td >Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.</td> </tr> <tr> <td >U.06</td> <td >Beheer op afstand</td> <td >Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.</td> </tr> <tr> <td >U.07</td> <td >Onderhoud apparatuur</td> <td >Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.</td> </tr> <tr> <td >U.08</td> <td >Veilig verwijderen of hergebruiken van apparatuur</td> <td >Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.</td> </tr> <tr> <td >U.09</td> <td >Hardenen van servers</td> <td >Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.</td> </tr> <tr> <td >U.10</td> <td >Serverconfiguratie</td> <td >Het conform de vereisten instellen van de verschillende features van serverplatforms.</td> </tr> <tr> <td >U.11</td> <td >Virtueel serverplatform</td> <td >Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.</td> </tr> <tr> <td >U.12</td> <td >Beperking software installatie</td> <td >Het stellen van regels voor het installeren op servers of serverplatforms.</td> </tr> <tr> <td >U.13</td> <td >Kloksynchronisatie</td> <td >Het gelijkrichten van klokken op verschillende servers.</td> </tr> <tr> <td >U.14</td> <td >Ontwerpdocumentatie</td> <td >Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.</td> </tr> <tr> <td >C.01</td> <td >Evaluatierichtlijnen serverplatforms</td> <td >Richtlijnen die evaluatie activiteiten van servers ondersteunen.</td> </tr> <tr> <td >C.02</td> <td >Beoordeling technische serveromgeving</td> <td >Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.</td> </tr> <tr> <td >C.03</td> <td >Logbestandenbeheerders</td> <td >Het vastleggen van activiteiten van beheerders.</td> </tr> <tr> <td >C.04</td> <td >Registratiegebeurtenissen</td> <td >Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.</td> </tr> <tr> <td >C.05</td> <td >Monitorenservers en besturingssystemen</td> <td >Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.</td> </tr> <tr> <td >C.06</td> <td >Beheerorganisatieservers en besturingssystemen</td> <td >De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.</td> </tr> <caption align="bottom">Serverplatform, Definiëring/omschrijving van beveiligingsobjecten</caption></table>  +
BIO Thema Serverplatform - Inleiding +==Inleiding== Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur. ===Opzet van het thema=== Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # scope en begrenzing (§1.2); # context en globale structuur van het thema (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ===Scope en begrenzing=== In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver. De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0pky">  ISO/BIO object  </th> <th class="tg-0lax">  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td class="tg-0lax">  Beleid voor beveiligd ontwikkelen  (14.2.1)  </td> <td class="tg-0lax">  Beleid voor (beveiligd) onderhouden  van serverplatforms  </td> </tr> <tr> <td class="tg-0lax">  Principes voor engineering van  beveiligde systemen  </td> <td class="tg-0lax">  Principes serverplatform beveiliging.  </td> </tr> <caption align="bottom">Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten</caption></table> ===Context van serverplatform=== Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten. [[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|350px|Context thema Serverplatform|alt=”Context thema Serverplatform”]] Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruiker in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.  +
BIO Thema Serverplatform - Verbindingsdocument +Tekst wordt later toegevoegd  +
BIO Thema Toegangbeveiliging Beleid +==Objecten binnen toegangbeveiliging== Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Toegangsbeveiliging beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Toegangsbeveiliging. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein.png|thumb|700px|none|alt=Onderwerpen die binnen het Beleiddomein een rol spelen|Onderwerpen die binnen het Beleiddomein een rol spelen]]  +
BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten +<table class="wikitable"><caption align="bottom">Tabel 3: Aandachtspunten ten aanzien van objecten</caption> <tr><th> Objecten </th> <th> Baseline </th> <th> Opmerking/Thema </th></tr><tr><td>Gedeelde Autorisatie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Sessie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Labelen </td> <td>NIST, ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Speciale systeemhulpmiddelen </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Toegangsbeveiliging op (programma-) broncode </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Draadloze Toegangsverbinding </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Remote Access </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Externe connectie </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Toegang Mobiele Apparatuur </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr style="background-color:#bfbfbf"><td> Overige </td> <td> </td> <td> </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3. </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Inlogprocedures </td> <td colspan="2"> U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren? </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3 </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Wachtwoordenbeheer U.05 </td> <td colspan="2"> Missen daar niet de rest van de ISO 9.4.3.-indicatoren? </td></tr><tr><td>Verwijzingen naar practices opnemen </td> <td colspan="2"> </td></tr></table>  +
BIO Thema Toegangsbeveiliging - Doelstelling en risico per object +Overzichten van de [[beveiligingsprincipes]] en daaraan gerelateerde doelstellingen, risico's en controls  +
BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging +Voor de inrichting en evaluatie van voorzieningen voor toegangbeveiliging, dient de fasering van onderdtaande figuur te worden gebruikt. Dit geldt zowel interne als externe medewerkers: * Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten regelen; * Tijdens dienstverband (Doorstroom): in deze fase worden werknemers via trainingen en opleidingen bewust gemaakt over het omgaan van bedrijfsmiddelen (o.a. bedrijfsgegevens) en hoe om te gaan met aspecten aangaande informatiebeveiliging. Dit is afhankelijk van de functie van de werknemer; * Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren. [[Afbeelding:Thema Toegangbeveiliging - De relaties tussen de drie fases van toegangbeveiliging.png|thumb|500px|none|alt=”De relaties tussen de drie fases van toegangbeveiliging”]] ==Indiensttreding nieuwe medewerkers== Met de verstrekking van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas (bijvoorbeeld een Rijkspas waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke toegangbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot de logische ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, (zoals de KA of de front office omgeving) en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. # Personeelsafdeling - De personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand; # Facilitair Bedrijf - zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een toegangspas aan (Rijkspas = identificatiemiddel); # Gegevens/proceseigenaar- zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties); # ICT afdeling - zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel (Rijkspas). Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: Het bieden van geautoriseerde toegang. Er zijn daarvoor meerdere gegevens van de medewerker en acties van de organisatie voor nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid.Onderstaande geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker. [[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding van een medewerker.png|thumb|500px|none|alt=”Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker”]] Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de medewerker geidentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een toegangspas, en een logisch toegangsbewijs in de vorm van een account voor toegang tot IV-faciliteiten. Na inloggen met behulp van de inloggegegevens (account of tewel identificatie en authenticatie) krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Onderstaande figuur geeft hiervan een overzicht. [[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|500px|none|alt=”Het autorisatieproces”]] ==Tijdens het dienstverband== Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op basis van de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd, de toegangsrechten worden aangepast, geblokkeerd of verwijderd. ==Uitdiensttreding== Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.  +
BIO Thema Toegangsbeveiliging - Inleiding +Dit document representeert een referentiekader voor het thema Logische toegangsbeveiliging en is geënt op controls uit best practices, zoals: SoGP, NIST en Cobit en de BIO (Baseline Informatiebeveiliging Rijk). De uitwerking is gebaseerd op de BIO en ISO 270xx (2013). We hanteren in het vervolg een meer algemene term ‘Toegangsbeveiliging’. ==Opzet van het thema== Het Thema Toegangsbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van de (BUC) lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema (§1.2); # scope en begrenzing (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ==Context van Toegangsbeveiliging== Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imagoschade en klantenverlies. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging, zoals in afbeelding 'Globale opzet logische en fysieke beveiliging' wordt weergegeven. Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten , die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen, die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten en terreinen. [[Afbeelding:Thema Toegangbeveiliging - Globale opzet logische en fysieke beveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke beveiliging”|Globale opzet logische en fysieke beveiliging]] ==Scope en begrenzing van Toegangsbeveiliging== De uitwerking van logische toegangsbeveiliging is in dit thema gericht op identificatie authenticatie en autorisatie van (vaste) medewerkers voor systemen die op een bepaalde locatie staan. De uitwerking van fysieke beveiliging is dit thema gericht op de fysieke toegang tot terreinen, gebouwen en rekencentra. Specifieke, apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, -netwerken, -mobiele computers, en telewerken zullen in andere thema’s worden behandeld.  +
BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen + # Beleid domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Beleid domein”]] # Uitvoering domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Control domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control domein”]] # Control domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Uitvoering domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Uitvoering domein”]]   +
BIO Thema Toegangsbeveiliging - Structuur van het thema Toegangbeveiling +De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren. Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten zijn onderverdeeld in lagen. '''''Beleidsdomein''''' – Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de toegangbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en rand voorwaardelijke aspecten die van toepassing zijn op de overige lagen binnen het uitvoeringsdomein en het control domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiligingsbeleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuur. '''''Uitvoeringsdomein''''' – Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze implementatieobjecten zijn georganiseerd langs de volgende lagen: # Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en Taak. De relatie tussen deze componenten kan gelezen worden als: ## een gebruiker heeft een rol; ## op basis van deze rol wordt zijn/haar profiel bepaald; ## op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren. # Toegangsvoorziening laag - Dit is de laag waarin wordt vastgelegd op basis van welke middelen gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. # Applicatie laag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. # Opslag - Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse doeleinden. # Systeem laag - Binnen deze laag wordt aangegeven dat de identificatie/authenticatie via workstation worden aangeboden. Binnen deze omgeving worden ten aanzien van het accountmanagement bepaalde eisen gesteld. '''''Controldomein''''' - Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van toegang zelf. In ondersdtaande figuur wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. [[Afbeelding:Thema Toegangbeveiliging - Schematische weergave van de componenten in een drielagenstructuur.png|thumb|500px|none|alt=”Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een drielagenstructuur”]]  +
BIO Thema Toegangsbeveiliging - Verbindingsdocument +==A1 Context van Toegangsbeveiliging== [[Afbeelding:Thema Toegangbeveiliging - Verbindingsniveau voor toegangsbeveiliging.png|thumb|250px|none|alt=”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”]] Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevens van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen. [[Afbeelding:Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem.png|thumb|500px|none|alt=”Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem”]] Na deze processtappen bezit de medewerker (gebruiker) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevens wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruiker daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatie en authenticatie) krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld. [[Afbeelding:Thema Toegangbeveiliging - Indeling van de essentiële elementen in de drie domeinen.png|thumb|500px|none|alt=”Indeling van de essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”]] Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen. [[Afbeelding:Thema Toegangbeveiliging - Weergave van de essentiële elementen voor toegangsbeveiliging.png|thumb|500px|none|alt=”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”]] ==A2 Generieke toegangsbeveiligingsobjecten== Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd. <table class="wikitable"><caption align="bottom">Overzicht van de geïdentificeerde objecten uit BIO/ISO</caption> <tr><th> </th> <th>BIO/ISO Nr. </th> <th>Generieke objecten </th></tr><tr><td>1. </td> <td>9.1.1. </td> <td style="background-color:#ffd966">Toegangsbeveiligingsbeleid </td></tr><tr><td>2. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">Eigenaarschap bedrijfsmiddelen </td></tr><tr><td>3. </td> <td>6.1.2. </td> <td style="background-color:#ffd966">Beveiligingsfunctie </td></tr><tr><td>4. </td> <td>10.1.1. </td> <td style="background-color:#ffd966">Cryptografie </td></tr><tr><td>5. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ffd966">Beveiligingsorganisatie </td></tr><tr><td>6. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ffd966">Toegangsbeveiligingsarchitectuur </td></tr><tr><td>7. </td> <td>9.2.1. </td> <td style="background-color:#ff9999">Registratieprocedure </td></tr><tr><td>8. </td> <td>9.2.2. </td> <td style="background-color:#ff9999">Toegangsverleningsprocedure </td></tr><tr><td>9. </td> <td>9.4.2. </td> <td style="background-color:#ff9999">Inlogprocedure </td></tr><tr><td>10. </td> <td>9.2.6. </td> <td style="background-color:#ff9999">Autorisatieproces </td></tr><tr><td>11. </td> <td>9.4.3. </td> <td style="background-color:#ff9999">Wachtwoord beheer </td></tr><tr><td>12. </td> <td>9.2.3. </td> <td style="background-color:#ff9999">Speciale toegangsrechten beheer </td></tr><tr><td>13. </td> <td>12.1.4. </td> <td style="background-color:#ff9999">Functiescheiding </td></tr><tr><td>14. </td> <td>9.2.4. </td> <td style="background-color:#ff9999">Geheime authenticatie-informatie (Identificatie & Authenticatie) </td></tr><tr><td>15. </td> <td>9.4.1. </td> <td style="background-color:#ff9999">Autorisatie </td></tr><tr><td>16. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ff9999">Toegangsvoorzieningsfaciliteiten </td></tr><tr><td>17. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">Fysieke toegangsbeveiliging </td></tr><tr><td>18. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#99ccff">Beoordelingsrichtlijnen en procedures </td></tr><tr><td>19. </td> <td>9.2.5. </td> <td style="background-color:#99ccff">Beoordeling toegangsrechten </td></tr><tr><td>20. </td> <td>12.4.1. </td> <td style="background-color:#99ccff">Gebeurtenissen registreren (Logging en Monitoring) </td></tr><tr><td>21. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#99ccff">Beheersingsorganisatie toegangsbeveiliging </td></tr> </table> <table style="border: 1px solid #888"><caption>Legenda</caption> <tr> <td style="background-color:#ffd966; width:3em;"> </td> <td>[[Beveiligingsaspect Beleid|Beleid]] </td></tr><tr> <td style="background-color:#ff9999"> </td> <td>[[Beveiligingsaspect Uitvoering|Uitvoering]] </td></tr><tr> <td style="background-color:#99ccff"> </td> <td>[[Beveiligingsaspect Control|Control]] </td></tr></table> Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL. ==A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen== Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van de generieke objecten in relatie tot SIVA basiselementen.png|thumb|500px|none|alt=”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”]] De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving. ==A4 Cross reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. <table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem</caption> <tr><th>Nr. </th> <th>BronBIO/ISO </th> <th>Domein </th> <th>Generieke objecten </th> <th>Best PracticesNORA, NIST, SoGP </th></tr><tr><td>1. </td> <td>9.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Toegangsbeveiligingsbeleid </td> <td>NIST, SoGP </td></tr><tr><td>2. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Eigenaarschap bedrijfsmiddelen </td> <td>NIST, IBD, SoGP </td></tr><tr><td>3. </td> <td>6.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Beveiligingsfunctie </td> <td>SoGP, Cobit </td></tr><tr><td>4. </td> <td>10.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Cryptografie </td> <td>NORA, Themapatroon Encryptie </td></tr><tr><td>5. </td> <td>SA </td> <td style="background-color:#ffd966">B </td> <td>Beveiligingsorganisatie </td> <td>Aanvulling </td></tr><tr><td>6. </td> <td>SA </td> <td style="background-color:#ffd966">B </td> <td>Toegangsbeveiligingsarchitectuur </td> <td>NORA, katern beveiliging in samenhang </td></tr><tr><td>7. </td> <td>9.2.1. </td> <td style="background-color:#ff9999">U </td> <td>Registratieprocedure </td> <td>NORA, Themapatroon IAM </td></tr><tr><td>8. </td> <td>9.2.2. </td> <td style="background-color:#ff9999">U </td> <td>Toegangsverleningsprocedure </td> <td>ISO </td></tr><tr><td>9. </td> <td>9.4.2. </td> <td style="background-color:#ff9999">U </td> <td>Inlogprocedure </td> <td>NORA, Patroon Access Management (AM </td></tr><tr><td>10. </td> <td>9.2.6. </td> <td style="background-color:#ff9999">U </td> <td>Autorisatieproces </td> <td>NORA, Patroon IAM en AM </td></tr><tr><td>11. </td> <td>9.4.3. </td> <td style="background-color:#ff9999">U </td> <td>Wachtwoord beheer </td> <td>SoGP, ISO, NIST </td></tr><tr><td>12. </td> <td>9.2.3. </td> <td style="background-color:#ff9999">U </td> <td>Speciale toegangsrechten beheer </td> <td>SoGP, ISO, NIST </td></tr><tr><td>13. </td> <td>12.1.4. </td> <td style="background-color:#ff9999">U </td> <td>Functiescheiding </td> <td>SoGP, ISO, NIST </td></tr><tr><td>14. </td> <td>9.2.4. </td> <td style="background-color:#ff9999">U </td> <td>Geheime authenticatie-informatie (Id. & Auth.) </td> <td>NORA, Patroon Identity Management (IM) </td></tr><tr><td>15. </td> <td>9.4.1. </td> <td style="background-color:#ff9999">U </td> <td>Autorisatie </td> <td>NORA, Patroon IM en AM </td></tr><tr><td>16. </td> <td>SA </td> <td style="background-color:#ff9999">U </td> <td>Toegangsvoorzieningsfaciliteiten </td> <td>NORA, Patroon Access Management </td></tr><tr><td>17 . </td> <td>11.1.2. </td> <td style="background-color:#ff9999">U </td> <td>Fysieke toegangsbeveiliging </td> <td>ISO </td></tr><tr><td>18. </td> <td>SA </td> <td style="background-color:#99ccff">C </td> <td>Beoordelingsrichtlijnen en procedures </td> <td>Aanvulling </td></tr><tr><td>19. </td> <td>9.2.5. </td> <td style="background-color:#99ccff">C </td> <td>Beoordeling toegangsrechten </td> <td>NORA, Patron Access Management </td></tr><tr><td>20. </td> <td>12.4.1. </td> <td style="background-color:#99ccff">C </td> <td>Gebeurtenissen registreren (Logging en Monitoring) </td> <td>NORA, Patroon SIEM en Logging </td></tr><tr><td>21. </td> <td>SA </td> <td style="background-color:#99ccff">C </td> <td>Beheersingsorganisatie toegangsbeveiliging </td> <td>Aanvulling </td></tr></table>  +
BIR (Baseline Informatiebeveiliging Rijksdienst) +De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm ISO/IEC 27002. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende veiligingseisen maken risicomanagement eenvoudiger.  +
BLAU (Basisregistratie Lonen Arbeidsverhoudingen en Uitkeringen) +BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt.  +
BRI (Basisregistratie Inkomen) +De Basisregistratie Inkomen (BRI) bevat van circa dertien miljoen burgers het authentieke inkomensgegeven. Dit is -uitsluitend - het verzamelinkomen, of als dat er niet is, het belastbare jaarloon over het afgelopen kalenderjaar. En gegevens zoals het burgerservicenummer (BSN). [https://www.stelselvanbasisregistraties.nl/registraties/ Stelsel van basisregistraties]  +
BRI/Batch-gewijs via bestanden +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Batch-gewijs via bestanden (vraaggedreven) +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Inzage BRI +Inzage geregistreerd inkomen (BRI) voor burgers op MijnOverheid vanaf 1 juni 2015. Plan is om in de loop van 2016 ook op MijnBelastingdienst te realiseren.  +
BRK (Basisregistratie Kadaster) +De Basisregistratie Kadaster (BRK) bevat informatie over percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken. Daarnaast staan er kadastrale kaarten in met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten.  +
BRK/BAG koppeltabel +Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster]  +
BRK/Digitale- kadastrale kaart service +Bestandslevering van de Geautomatiseerde Kadastrale Registratie. Voor bestaande afnemers mutaties af te nemen via downloadservice. Product wordt uitgefaseerd per 1 januari 2017 en is beschikbaar als webservice en download via PDOK.  +
BRK/Gegevensverstrekking via abonnement +Op basis van afspraken wordt een bestand geleverd.  +
BRK/Gegevensverstrekking via selecties +Klanten ontvangen op basis van een abonnement een afgesproken selectie van gegevens.  +
BRK/KIK inzage +Webservice voor het online inzien van de BRK, te weten kadastraal bericht persoon, kadastraal bericht object, hypothecair bericht object, uittreksel kadastrale kaart, negatieve mededeling. [http://www.kadaster.nl/web/artikel/Alle-producten-1/KIKinzage-1.htm KIK-inzage op website Kadaster]  +
BRK/Kadaster online-Kada internet +Middels [https://mijn.kadaster.nl/security/login.jsp Kadaster-on-line] kunnen handmatig uittreksels worden opgevraagd van de kadastrale kaart, daarnaast kunnen kadastrale berichten, hypothecaire berichten en objectenlijsten worden opgevraagd. Middels [https://mijn.kadaster.nl/security/login.jsp Kada internet] kunt u vastgoedinformatie online aanvragen en inzien. [http://www.kadaster.nl/web/artikel/productartikel/Mijn-Kadaster-20.htm "Mijn Kadaster" op website Kadaster]  +
BRK/MO AKR-DKK via Kadainternet + * [http://www.kadaster.nl/web/Themas/Themapaginas/Alle-dossierartikelen/Massale-output-onroerend-goed-1.htm Massale output onroerendgoed op website Kadaster] * [http://www.kadaster.nl/web/artikel/productartikel/Digitale-kadastrale-kaart.htm Digitale Kadastrale kaart op website Kadaster]   +
BRK/PDOK Digitale kadastrale kaart +Webservice voor het opvragen van de kadastrale kaart binnen een zelf te specificeren uitsnede. Wordt geleverd door PDOK volgens WMS en WMTS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/k Digitale Kadastrale Kaart op website PDOK]  +
BRK/PDOK bestuurlijke grenzen +Webservice voor het opvragen van rijks-, provincie- en gemeentegrenzen. Wordt geleverd volgens WMS en WFS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/b Bestuurlijke grenzen op website PDOK]  +
BRK/Webapplicatie individuele bevraging +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/Webapplicatie individuele bevraging (machine-machine) +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/levering mutaties abonnement +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. * [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen.  +
BRK/levering stand +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, periodieke standlevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. Verwerkingstermijn: maximaal 15 werkdagen. * [http://www.kadaster.nl/web/Themas/Registraties/BRK.htm BRK Levering op website Kadaster]  +
BRK/massale informatieverstrekking +Bestandslevering van de geautomatiseerde Kadastrale Registratie (AKR) Mutaties af te nemen via downloadservice. Product is uitgefaseerd per 1 januari 2016 en is vervangen door BRK Levering.  +
BRO (Basisregistratie Ondergrond) +Informatie over de ondergrond (bodem, geologie, grondwater, mijnbouw) is nodig bij een groot aantal overheidstaken, zoals het winnen van water, aardgas of aardwarmte of de opslag van CO2. Dat moet duurzaam, veilig en efficiënt gebeuren. De daarvoor benodigde ondergrondgegevens zijn te gebruiken vanuit de Basisregistratie Ondergrond (BRO). De BRO maakt deel uit van het stelsel van basisregistraties. De BRO voegt daar gegevens over de diepe en ondiepe ondergrond aan toe. Nu zijn deze ondergrondgegevens nog in beheer bij verschillende organisaties. Ze zijn daardoor niet in dezelfde mate gedigitaliseerd, gestandaardiseerd en geharmoniseerd en maar deels publiek beschikbaar. Dankzij de BRO hebben alle gegevens straks een gevalideerde, hoge kwaliteit en zijn ze voor iedereen vrij beschikbaar. De overheid kan planprocessen en beheerstaken efficiënter uitvoeren en de kwaliteit van haar dienstverlening verbeteren.  +
BRP (Basisregistratie Personen) +De Basisregistratie Personen (BRP) is een basisregistratie in ontwikkeling (programma Modernisering GBA). De BRP bevat persoonsgegevens over alle ingezetenen van Nederland en over personen die niet in Nederland wonen - of hier slechts kort verblijven - maar die een relatie hebben met de Nederlandse overheid, de 'niet-ingezeten'. De BRP wordt gebaseerd op twee bestaande administraties: *GBA (Gemeentelijke Basisadministratie Persoonsgegevens): Gegevens over personen ingeschreven bij een Nederlandse gemeente. De GBA heeft op dit moment al de status van een basisregistratie; *RNI (Registratie Niet-Ingezetenen). Gegevens over personen die niet in Nederland wonen, maar wel een relatie met de Nederlandse overheid hebben. Zoals grensarbeiders, buitenlandse studenten en 'pensionado's'. De RNI is op 6 januari 2014 ingevoerd met de inwerkingtreding van de nieuwe wet basisregistratie personen. Daarnaast is er nog de PIVA Verstrekkingen. Deze bevat gegevens over personen ingeschreven op de BES-eilanden (Bonaire, Sint Eustatius en Saba). De persoonslijsten in de PIVA-V en de persoonslijsten in de GBA komen grotendeels overeen, maar er zijn enkele verschillen. In het document ‘Verschillenmatrix persoonslijst GBA versus PIVA’ worden deze verschillen beschreven. Mogelijk zullen in de toekomst de BES-eilanden ook onderdeel uitmaken van de BRP. Daar is echter nog geen besluit over genomen.  +
BRP-Ad Hoc vraag-verstrekking op verzoek +Verstrekking van gegevens van een bepaalde ingeschrevene naar aanleiding van een door afnemer gestelde vraag.  +
BRP/Adresvraag +Geeft persoonsgegevens van alle op een adres ingeschreven personen. Bevragen kan met een adres als ingang of met persoonsgegevens als ingang.  +
BRP/Conditionele verstrekking +Eenmalige verstrekking naar aanleiding van een relevante wijziging op de persoonslijst, bijvoorbeeld ‘persoon is geëmigreerd'.  +
BRP/Selectieverstrekking +Eenmalige of periodieke bulkverstrekking van gegevens van personen die aan een bepaalde voorwaarde voldoen. Deze verstrekking is bijvoorbeeld geschikt voor vragen als ‘alle personen die nu ouder zijn dan 65’.  +
BRP/Spontane verstrekking +De afnemer kan indicaties laten plaatsen bij individuele personen, en krijgt dan eerst een ‘vulbericht’ met alle gegevens waarvoor geautoriseerd; later de mutaties die optreden bij deze personen (was-wordt berichten). Mutaties worden binnen afgesproken tijd aan de afnemer aangeleverd.  +
BRT (Basisregistratie Topografie) +De Basisregistratie Topografie (BRT) is dé unieke bron voor alle topografische informatie. De BRT gegevens worden geactualiseerd, beheerd en uitgeleverd door het Kadaster.  +
BRT/Bestandsleveringen +Bestandsleveringen van de verschillende BRT-datasets. Via PDOK: * [http://www.kadaster.nl/web/artikel/productartikel/TOP10NL.htm TOP10NL] (voor schaalniveau’s tussen 1:5.000 en 1:25.000) wordt geleverd in bestandsformaten GML. * [http://www.kadaster.nl/web/artikel/productartikel/TOPvector.htm TOPvector] (voor schaalniveau’s tussen 1:25.000 en 1:250.000) wordt geleverd in de bestandsformaten DGN, DXF en Shape. * [http://www.kadaster.nl/web/artikel/productartikel/TOPgrenzen.htm TOPgrenzen] wordt geleverd in de bestandsformaten DGN en Shape. * [http://www.kadaster.nl/web/artikel/productartikel/TOPnamen.htm TOPnamen] wordt geleverd in de bestandsformaten GDB, Dbase of Excel. (Datasets alleen voor geheel Nederland of deelgebied)  +
BRT/PDOK-Webservices +Webservices die een in het vraagbericht gespecificeerde uitsnede van de Basisregistratie Topografie bieden, welke middels een GIS-applicatie kan worden getoond ‘als plaatje’. Hierbij wordt gebruik gemaakt van de open standaarden, WMS, WMTS en/of TMS. De actualisatiefrequentie van de BRT is 5 kaartbladen per jaar. Elke informatie update betreft circa 10% van Nederland hierdoor ontstaat een integrale actualiteit van 2 jaar . Keus uit de volgende datasets: * [http://www.kadaster.nl/web/artikel/productartikel/TOP10NL.htm TOP10NL] * [http://www.kadaster.nl/web/artikel/productartikel/TOPvector.htm TOP50 vector] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP25 raster] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP50 raster] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP250 raster]  +
BRV (Basisregistratie Voertuigen) +In de Basisregistratie Voertuigen worden gegevens vastgelegd over voertuigen en de eigenaren daarvan. Uit de registratie verstrekt de Dienst voor het Wegverkeer informatie aan burgers en bedrijven. De gegevens zijn landelijk beschikbaar voor overheidsinstanties, zoals de politie en de Belastingdienst.  +
BRV/Gegevenslevering webservice +Interactieve gegevensverstrekking en –aanlevering via onlineverbindingen  +
BWB +Citeren, vinden en verbinden van wet- en regelgeving gaat door toepassing van de BWB standaard sneller, eenvoudiger en geeft minder kans op fouten. Gebruik van de standaard biedt daardoor verbetering van interoperabiliteit. De open standaard BWB biedt een eenduidige manier van verwijzen naar (onderdelen van) wet- en regelgeving. De laatste versie (versie 1.3.1) maakt het mogelijk om in wet- en regelgeving te kunnen verwijzen naar: * taalversies en onderdelen van internationale verdragen, * wet- en regelgeving waarvan de indeling niet voldoet aan de gebruikelijke nummering van hoofdstukken en paragrafen, en * ruime begrippen zoals “enig artikel”. De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen. De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving". De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen. De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.  +
BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak +BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak  +
Baseline +Een gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.  +
Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd +Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd  +
Basisgegeven +Een in een basisregistratie opgenomen gegeven.  +
Basisregistratie +Een bij wet als basisregistratie aangemerkte registratie.  +
Bedieningsprocedures +Bedieningsprocedures zijn een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms. De activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.  +
Bedrijfsmiddelen inventaris +In de Huisvesting van rekencentra zijn verschillende bedrijfsmiddelen, voorzieningen en hieraan gerelateerde componenten opgenomen, zoals: glasvezel en bekabeling, back-up voorzieningen, klimaatbeheersing, airconditioning en geavanceerde brandblussystemen. Het is van belang de componenten van deze voorzieningen zelf en/of informatie over deze voorzieningen te inventariseren en te registreren zodat de juiste informatie beschikbaar is, wanneer gebeurtenissen daarom vragen.  +
Bedrijfsmiddelen verwijdering +Bedrijfsmiddelen zijn alle objecten waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en objecten, waarmee toegang tot gebouwen, ruimten en IT-voorzieningen kan worden verkregen. Verwijdering van deze middelen dient nauwkeuring volgens vastgestelde procedures te worden behandeld (ingevoerd, gebruikt en afgevoerd).  +
Begrip 'Informatiecatalogus' is onvoldoende duidelijk +Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen? Zie ook issue IKV-006  +
Begrippenkader katern is onvoldoende uitgewerkt +Soms worden begrippen als synoniemen door elkaar gebruikt, of definities gehanteerd die in veel sectoren niet herkend zullen worden  +
Beheer op afstand +Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen. Onder bepaalde voorwaarden is het beheerders toegestaan door de organisatie beheerde servers "van buiten" te benaderen.  +
Beheer van serverkwetsbaarheden +Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt. Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen: * Hoe is de serveromgeving opgebouwd en geconfigureerd? * Wat zijn bekende kwetsbaarheden en zwakheden? Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven. In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.  +
Beheerderactiviteiten vastgelegd in logbestanden +Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. Het loggen van activiteiten spitst zich toe tot de bewaking van rechtmatigheid van toegekende rechten en het gebruik hiervan.  +
Beheerorganisatie netwerkbeveiliging +Het adequaat beheersen en beheren van de communicatievoorzieningen vereist een organisatiestructuur waarin de procesverantwoordelijkheden en toereikende bevoegdheden van de functionarissen zijn vastgelegd en op het juiste niveau zijn gepositioneerd.  +
Beheerorganisatie serverplatforms +Voor het adequaat beheersen en beheren van het servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.  +
Beheersing van software ontwikkeling(sprojecten) +De projectmanager heeft een (beheers)organisatiestructuur ingericht waarbij de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.  +
Beheerst (begrip gegevensmanagement) +in een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.  +
Bekabeling +Binnen de huisvesting van de Rekencentra is alle apparatuur verbonden met een bekabelingsysteem die in speciale kabelruimten is geïnstalleerd. Deze bekabelruimten kunnen doelwit worden van misbruik door bijvoorbeeld speciale afluisterapparatuur aan te sluiten. Het is daarom noodzakelijk om deze bekabelingsruimten te voorzien van specifieke beveiligingsmaatregelen.  +
Belastingdienst +Heeft een eerste registratie, de [https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/werk_en_inkomen/geregistreerde_inkomen_en_de_inkomensverklaring/alles_over_geregistreerde_inkomen/alles-over-het-geregistreerde-inkomen BRI], via Linked Data ontsloten en werkt Linked Data voor datamining.  +
Beleid en procedures informatietransport +De ISO 27002 (pg.74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem. Dit object richt zich op ‘inrichtings- en onderhoudsaspecten’ van communicatievoorzieningen. In het te formuleren beleid worden o.a. standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van communicatievoorzieningen.  +
Beleid voor (beveiligd) ontwikkelen +De ISO baseline (ISO pg. 74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem. In dit thema worden bij het object ‘beleid voor (beveiligd) ontwikkelen’ aan applicatieontwikkeling beleid gerelateerde specifieke aspecten benadrukt. In zo’n beleid worden onder andere methoden en technieken voor requirementanalyse en richtlijnen met betrekking tot beveiliging in de levenscyclus van softwareontwikkeling besproken.  +
Beleid voor beveiligde inrichting en onderhoud +De ISO-baseline (ISO pg. 74) formuleert ‘beveiligd ontwikkelen’ als een eis voor het opbouwen van beveiligde dienstverlening, software, systemen en architectuur. B ij het object ‘beleid voor (beveiligde) inrichting en onderhoud’. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers.  +
Beoordeling technische serveromgeving +Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatform architectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.  +
Beoordeling toegangsrechten +Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm: * Het voeren van controle activiteiten op de registratie van toegangsrechten; * het uitbrengen van rapportages aan het management.  +
Beperking van software-installatie +Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld.  +
Beperkingen voor de installatie van software(richtlijnen) +Het installeren van software kan betrekking hebben op drie type actoren: * 'gebruikers' om een bepaald type data analyse in de business omgeving te kunnen uitvoeren; * 'softwareontwikkelaars' voor requirements specificatie, het creëren van datamodellen en het genereren van programmacode; * 'technische beheerders' voor het beheren van servers en netwerkcomponenten. Dit thema is gericht op eisen die gerelateerd zijn aan het installeren van software door ontwikkelaars ten behoeve het specificeren van gebruikersrequirements. Hierbij kan gedacht worden aan het toekennen van minimale rechten (least privileges) aan ontwikkelaars om additionele hulp software te installeren of het toekennen van rechten die gerelateerd zijn aan de regels: need-to-use, need-to-know, need-to-modify, need-to-delete. Het doel hiervan is om risico’s die gerelateerd zijn aan het onbedoeld wijzigen van kritische assets (zoals informatie, software, applicaties en system security controls) te beperken.  +
Berichtenbox voor bedrijven +De berichtenbox voor bedrijven is een beveiligd e-mailsysteem waarmee u, via Antwoord voor bedrijven, digitaal berichten kunt uitwisselen met Nederlandse overheidsinstanties (de Rijksoverheid, provincies, gemeenten en waterschappen). De berichtenbox is bedoeld voor ondernemers die gevestigd zijn in de Europese Economische Ruimte (EER) - dus ook in Nederland - en die hun diensten in Nederland willen aanbieden. De berichtenbox kan gebruikt worden voor procedures die onder de Dienstenwet vallen, en voor procedures waarbij de bevoegde instantie ervoor gekozen heeft deze (ook) via de berichtenbox te laten verlopen.  +
Berichtenbox voor burgers +De berichtenbox (op MijnOverheid) is de digitale postbus voor berichten van de overheid aan burgers. De gemeente meldt bijvoorbeeld dat een paspoort moet worden verlengd. Of de RDW meldt dat een auto gekeurd moet worden. Als er een bericht in de box staat, wordt dit per e-mail gemeld aan de betreffende persoon. Berichten versturen via de berichtenbox is (nog) niet mogelijk.  +
Beschermen van testgegevens +Voor het testen van informatiesystemen worden gebruik gemaakt van verschillende soorten gegevens. Het gebruik van operationele databases met persoonsgegevens of enige andere vertrouwelijke informatie moet worden vermeden of anders moeten de persoonsgegevens worden geanonimiseerd. Testgegevens dienen zorgvuldig te worden gekozen, beschermd en gecontroleerd. NB: Onderscheid moet worden gemaakt tussen a( testen en b) meten. Metingen mogen uitgevoerd worden met behulp van persoonsgegevens voor zover het technisch zodanig is ingeregend dat geen enkel systeem en geen enkele persoon toegang heef tot de inhoudelijkheid van de gegevens; denk aan performance metingen. Acceptatietests mogen worden uitgevoerd door personeel dat uit hoofde van reguliere werkzaamheden toegang hebben tot deze gegevens.  +
Beschikbaarheid (begrip gegevensmanagement) +gegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen.  +
Betrouwbaar +De beschikbaarheid en de kwaliteit van diensten voldoen aan vooraf bepaalde normen. Aangeboden informatie dient bijvoorbeeld juist, authentiek, actueel en volledig te zijn. Processen zijn zodanig ingericht dat dit is gegarandeerd en monitoring van het kwaliteitsniveau plaatsvindt.  +
Betrouwbaarheid +De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.  +
Beveiligde inlogprocedure +De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij dient de geclaimde identiteit op passende wijze en met geschikte techniek te worden vastgesteld. De procedure om in te loggen wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is.  +
Beveiligde ontwikkel- (en test) omgeving +Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden: *' Ontwikkelomgeving' Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving. * 'Testomgeving' Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen; * 'Acceptatieomgeving' Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving; * 'Productieomgeving' Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen. In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.  +
Beveiligen van de verwerking van persoonsgegevens +Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg).  +
Beveiliging Virtueel serverplatform +Server virtualisatie stelt een organisatie in staat om één of meer gescheiden ‘logische’ omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en één of meerdere virtuele servers. De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief CPU, geheugen, harddisk of netwerk; hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.  +
Beveiliging en Gegevensbeschrijvingen in openbare review +Beveiliging en Gegevensbeschrijvingen in openbare review  +
Beveiliging netwerkdiensten +De eisen voor de communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde toegang tot de transportvoorzieningen zelf.  +
Beveiligingsfaciliteiten ruimten +De Rekencentra bevatten verschillende type ruimten, zoals: kantoren, bekabelingruimten en serverruimten. Deze ruimten moeten conform de beveiligingsgraad van deze ruimten voorzien zijn van beveiligingsfaciliteiten.  +
Beveiligingsfunctie toegangbeveiliging +De organisatie beschikt over veel middelen en informatie die beveiligd moeten worden. Hiervoor moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van toegangbeveiliging binnen de gehele organisatie, waaronder het toegangbeveiligingssysteem.  +
Beveiligingsorganisatie +De Beveiligingsorganisatie ziet toe op de naleving van het informatiebeveiligingsbeleid. Waar nodig grijpt de Beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een Beveiligingsorganisatie hierin heeft wordt vooraf expliciet benoemd en vastgesteld. Tevens moet vaststaan hoe de rapporteringslijnen zijn uitgestippeld.  +
Bewaren van persoonsgegevens +Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 27: "De Avg is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen."</sup>.  +
Bijeenkomst expertgroep privacy +{{{Beschrijving}}}  +
Boekje met 10 praktijktoepassingen van Linked Data in Nederland +Boekje met 10 praktijktoepassingen van Linked Data in Nederland  +
Bouwsteen (Begrip) +Voorziening die deel uitmaakt van de infrastructuur van de e-overheid.  +
Bouwstenen geplot op NORA beeldtaal.png +Indeling van bouwstenen zoals gehanteerd in NORA 3.0 Katern strategie. Indeling in Contactfuncties, Identity Management, Basisregistraties, Elektronische informatie-uitwisseling.  +
Bronregistratie +De plaats waar een gegeven of document voor de eerste keer is vastgelegd  +
Burgerservicenummer (BSN) +Het burgerservicenummer (BSN) is het persoonsnummer voor contacten met de overheid. Dit unieke nummer helpt om bijvoorbeeld persoonsverwisselingen te voorkomen. Iedereen die zich voor het eerst inschrijft bij een gemeente krijgt een BSN. Een pasgeboren kind krijgt bij inschrijving in de BRP pas een BSN. Het BSN staat op het paspoort, rijbewijs en identiteitskaart.  +
Business Impact Analyse +Een van de specifieke activiteiten die bij applicatieontwikkeling moet worden uitgevoerd is de Business Impact Analyse (BIA). Hierbij wordt vanuit verschillende optieken de doelomgeving geanalyseerd, om op deze manier de juiste requirements voor de te ontwikkelen applicatie te kunnen identificeren en te traceren.  +
C
CMIS +Content Management Interoperability Services (CMIS) is een open standaard die een scheiding mogelijk maakt tussen zogenaamde ‘content repositories’ en content applicaties. Hierdoor kunnen content (ongestructureerde data, zoals documenten en e-mails) en bijbehorende metadata (beschrijvende data) gemakkelijker worden uitgewisseld. Met behulp van CMIS kunnen applicaties als Content Management Systemen (CMS) en Document Management Systemen (DMS) werken met content die afkomstig is uit verschillende repositories (een soort van opslagplaats voor ongestructureerde data), zonder nieuwe koppelingen te hoeven bouwen of gebruik te hoeven maken van leverancierseigen oplossingen. Het is hierdoor eenvoudiger om informatie en de bijbehorende metadata uit verschillende databases en over organisatiegrenzen heen uit te wisselen. Bovendien is het met CMIS eenvoudiger om te migreren van een systeem naar een ander systeem.  +
CSS +CSS maakt een op een realtief eenvoudige wijze een uniforme opmaak van websites mogelijk. CSS is een simpel mechanisme om opmaak (bijvoorbeeld lettertypes, kleuren, tussenruimtes) toe te voegen aan web pagina's. Met behulp van één stylesheet kunnen alle pagina's van een website uniform worden opgemaakt.  +
CSV +CSV-bestanden (Common Format and MIME Type for Comma-Separated Values Files) kunnen in een rekenblad- of een databaseprogramma worden ingelezen en vervolgens op een beeldscherm als tabel worden gepresenteerd. CSV bestanden bestaan uit regels met informatie waarbij naar ieder los gegeven een komma wordt geplaatst. Het wordt veelgebruikt om gegevens tussen verschillende spreadsheet programma's uit te wisselen en kan ook gebruikt worden op gegevens uit databases over te zetten naar een andere database.  +
Certificering +Certificering vindt plaats door certificatie instellingen; zo bestaan er bijvoorbeeld verschillende ISO-certificaten die door geaccrediteerde certificatie-instellingen worden afgegeven. Klanten eisen steeds vaker dat het certificaat is behaald voordat zij zaken willen doen met de betreffende IV-dienstverlener. Om een ISO-certificaat te kunnen behalen moet aantoonbaar aan een aantal eisen zijn voldaan. Om aan een ISO-norm te kunnen voldoen moeten de werkprocessen in de organisatie inzichtelijk zijn gemaakt en moeten ze beheersbaar en bestuurbaar zijn.  +
Classificatie van Informatie +Binnen ISO is gesteld dat een organisatie haar informatie moet classificeren om ervoor te zorgen dat informatie een passend beschermingsniveau krijgt. Hiervoor moet de organisatie een classificatieschema opstellen en dit schema communiceren binnen de organisatie. Een classificatieschema geeft beveiligingsrichtlijnen voor zowel algemene informatiemiddelen als voor informatie in het ontwikkeltraject. Binnen dit thema moet de projectverantwoordelijke dit classificatieschema als input beschikbaar hebben om binnen de context van de applicatie omgeving te kunnen toepassen. Het classificatieschema beidt specifieke richtlijnen voor het ontwikkeltraject.  +
Communicatievoorzieningen Beleid +Binnen het Beleid-domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid-domein een rol spelen|alt=”Onderwerpen die binnen het Beleid-domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > B.01 </td> <td > Beleid en procedures informatietransport </td> <td > BIO:132.2.1, ISO27033-1: 6.2 </td> <td > I </td> </tr> <tr> <td > B.02 </td> <td > Overeenkomsten over informatietransport </td> <td > BIO:13.2.2, ISO27033-1 BSI IT-Grundschutz: S.6 </td> <td > F </td> </tr> <tr> <td > B.03 </td> <td > Cryptografiebeleid voor communicatievoorzieningen </td> <td > BIO: 10.3.1, 18.1.5.1 ISO27033-1: 8.8, </td> <td > G </td> </tr> <tr> <td > B.04 </td> <td > Organisatiestructuur van netwerkbeheer </td> <td > BSI S4.2, ISO27033-1: 8.2 ITIL: Netwerkbeheer </td> <td > S </td> </tr> <caption align="bottom">Communicatievoorzieningen, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Communicatievoorzieningen Control +Binnen het Controldomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de beheersingsorganisatie beschrijft de samenhang van de ingerichte processen. Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > C.01 </td> <td > Naleving richtlijnen netwerkbeheer en evaluaties </td> <td > BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 </td> <td > I </td> </tr> <tr> <td > C.02 </td> <td > Netwerkbeveiliging compliancy checking </td> <td > BIO:8.2.2.4, ISO27033-1 ISO27033-2: 7.2.6, 8.7 </td> <td > F </td> </tr> <tr> <td > C.03 </td> <td > Evalueren van robuustheid netwerkbeveiliging </td> <td > BIO:18.1.2, 18.2.1,  ISO27033-1: 8.2.5, SoGP: NW1.3 </td> <td > F </td> </tr> <tr> <td > C.04 </td> <td > Evalueren van netwerkgebeurtenissen (monitoring) </td> <td > BIO:8.2.4, ISO27033-1 </td> <td > G </td> </tr> <tr> <td > C.05 </td> <td > Beheersorganisatie netwerkbeveiliging </td> <td > ISO27003: ISMS, SoGP: NW1.4 </td> <td > S </td> </tr> </table> <caption align="bottom">Communicatievoorzieningen, Voor het Controldomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Communicatievoorzieningen Uitvoering +Binnen het Uitvoeringdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Uitvoeringdomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoering domein een rol spelen|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > U.01 </td> <td > Richtlijnen voor netwerkbeveiliging </td> <td > BIO:8.2.2.3, ISO27033-1 ISO27033-2: 6,7,8 </td> <td > I </td> </tr> <tr> <td > U.02 </td> <td > Beveiligde inlogprocedure </td> <td > BIO:9.4.2, ISO27033-1: 8.4 </td> <td > I </td> </tr> <tr> <td > U.03 </td> <td > Netwerk beveiligingsbeheer </td> <td > BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 </td> <td > F </td> </tr> <tr> <td > U.04 </td> <td > Vertrouwelijkheid- en geheimhoudingsovereenkomst </td> <td > BIO:13.2.4, SoGP: NW1.1 </td> <td > F </td> </tr> <tr> <td > U.05 </td> <td > Beveiliging van netwerkdiensten </td> <td > BIO:13.1.2, ISO27033-1: 10.6 </td> <td > F </td> </tr> <tr> <td > U.06 </td> <td > Zonering en filtering </td> <td > BIO:13.1.3, ISO27033-1: 10.7 ISO27033-2: 7.2.3 NORA Patronen: Zoneringsmodel </td> <td > F </td> </tr> <tr> <td > U.07 </td> <td > Elektronische berichten </td> <td > BIO:13.2.3, ISO27033-1: 10.3, 10.8 </td> <td > F </td> </tr> <tr> <td > U.08 </td> <td > Toepassingen via openbare netwerken </td> <td > BIO: 14.2.1 </td> <td > F </td> </tr> <tr> <td > U.09 </td> <td > Gateways en firewalls </td> <td > ISO27033-4, SoGP: NC1.5 NORA Patronen: Koppelvlak </td> <td > G </td> </tr> <tr> <td > U.10 </td> <td > Virtual Private Networks (VPN) </td> <td > ISO27033-5 NORA Patronen: Vertrouwd toegang-pad </td> <td > G </td> </tr> <tr> <td > U.11 </td> <td > Cryptografische services </td> <td > BIO:10, ISO27033-1: 8.2.2.5 SoGP: NC1.1 NORA Patronen: Encryptie </td> <td > G </td> </tr> <tr> <td > U.12 </td> <td > Wireless Access </td> <td > ISO27033-6 NORA Patronen: Draadloos netwerk </td> <td > G </td> </tr> <tr> <td > U.13 </td> <td > Netwerkconnecties </td> <td > BIO:8.2.2.5, ISO27033-1 NORA Patronen: Koppelvlak </td> <td > G </td> </tr> <tr> <td > U.14 </td> <td > Netwerkauthenticatie </td> <td > NORA Patronen: Beschouwingsmodel Netwerk </td> <td > G </td> </tr> <tr> <td > U.15 </td> <td > Netwerk beheeractiviteiten </td> <td > ISO27033-1: 8.4, ISO27033-2: 8.4 </td> <td > G </td> </tr> <tr> <td > U.16 </td> <td > Vastleggen en monitoren van netwerkgebeurtenissen (events) </td> <td > ISO27033-1: 8.5 ISO27033-2: 8.5 </td> <td > G </td> </tr> <tr> <td > U.17 </td> <td > Netwerk beveiligingsarchitectuur </td> <td > BIO:9.2, ISO27033-1 ISO27033-2: 8.6 SoGP: Network design NORA Patronen: Diverse patronen </td> <td > S </td> </tr> <caption align="bottom">Communicatievoorzieningen, Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Community Meeting 03-11-2016 +Start Software voor data op het web community  +
Community Meeting 07-04-2017 +Software voor data op het web community meeting  +
Compliance management +Compliance management richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet- en regelgeving en (b) door de organisatie overeengekomen beleid, richtlijnen, standaarden en architectuur. Vanuit optiek van de functionele- en technische beveiligingseisen voor de software is het van belang om via een compliance managementproces vast te stellen in welke mate de gerealiseerde software voldoet aan de verplichtingen die voortvloeien uit wet en regelgeving en uit vooraf overeengekomen beleid, architectuur, standaarden en contracten.  +
Conceptueel informatiemodel +Een van de vier typen modellen zoals gedefinieerd in het [[MIM (Metamodel voor informatiemodellen)]].  +
Congres Zaakgericht werken voor de Overheid 2018: Connect! +Congres Zaakgericht werken voor de Overheid 2018: Connect!  +
Congres Zaakgericht werken voor de Overheid op 1 oktober 2019 +Congres Zaakgericht werken voor de Overheid op 1 oktober 2019  +
Continuiteitsmanagement +Continuïteitbeheer, ook bekend als: Business Continuïty Management Systems (BCMS), is genormeerd en beschreven in NEN-ISO 22313:2014 nl. Bedrijfscontinuïteit is het vermogen van de organisatie, om na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus. Bedrijfscontinuïteitsbeheer (BCM) is het proces waarmee bedrijfscontinuïteit bereikt wordt en gaat over het voorbereiden van een organisatie op het afhandelen van verstorende incidenten die anders zouden kunnen verhinderen haar doelstellingen te bereiken. In de context van Huisvesting Informatievoorziening richt BCMS zich o.a. op de beschikbaarheid van data en bedrijfsfuncties vanuit applicaties en de onderliggende infrastructuur en netwerk op de lange termijn. In het Controldomein gaat het om de vraag of voldoende maatregelen genomen zijn om te zorgen dat na een calamiteit de Huisvesting Informatievoorziening services weer zo snel mogelijk hersteld kunnen worden. Samengevat, continuïteitbeheer: * stelt plannen op, en onderhoudt deze, om voorbereid te zijn om na het zich voordoen van een calamiteit, zo snel mogelijk over te kunnen schakelen op noodvoorzieningen en daarna op een gestructureerde wijze terug te keren naar een (herbouwde) stabiele omgeving. * heeft noodvoorzieningen achter de hand om de belangrijkste activiteiten zo snel mogelijk weer op te starten (uitwijk). * is in staat om, na herstel van de oorspronkelijke omgeving, gestructureerd terug te gaan naar een situatie zoals die was voor het uitbreken van de calamiteit(‘business as usual’).  +
Contractmanagement +Wanneer de ontwikkeling en/of het beheer over de gehele of een deel van de Huisvesting Informatievoorziening wordt uitbesteed, moeten de functionele en beveiligingseisen in een overeenkomst tussen beide partijen worden vastgelegd, zoals in een contract en/of Servicelevel Agreement (SLA). Deze overeenkomst moet garanderen dat er geen misverstanden bestaan tussen de beide partijen.  +
Controle richtlijn +Binnen het Huisvesting Informatievoorziening bevinden zich verschillende bedrijfsmiddelen. Periodiek moet een functionaris met specifieke bevoegdheden controle activiteiten verrichten ten aanzien van de bedrijfsmiddelen Hierdoor kunnen eventuele gebreken tijdig worden vastgesteld en de noodzakelijke maatregelen worden getroffen. Deze activiteiten moeten ondersteund worden met richtlijnen, procedures en instructies, anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.  +
Cryptografie bij authenticatie +Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenciteit, onweerlegbaarheid en authenticatie. Voor toegangbeveiliging is het van cruciaal belang dat authenticatiegeheimen zoals wachtwoorden en PIN-codes worden beschermd tijdens de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde om aan authenticatiegeheimen het gewenste vertrouwen te ontlenen. Met dit beleid de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v. versleuteling van gegevens.  +
Cryptografiebeleid voor communicatie +In ISO27002 worden ten aanzien van communicatievoorzieningen de volgende principes expliciet genoemd: * het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar stellen van passende communicatievoorzieningen; * tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter bescherming van informatie en voor de bescherming, het gebruik en de levensduur van cryptografische beheersmaatregelen (zoals crypto-sleutels).  +
Cryptografische Services +De ISO27002 normeert beleid voor cryptografie en sleutelbeheer. Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor versleuteling van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en netwerkconnecties. De Pas-Toe-en-Leg-Uit lijst van het Forum Standaardisatie benoemt passende beheersmaatregelen.  +
Cyclisch proces (Begrip) +Een proces met een vast en regelmatig terugkerend patroon.  +
D
DHCP +DHCP maakt het mogelijk om automatisch netwerkadressen toe te wijzen aan hosts en maakt het bijvoorbeeld ook mogelijk om de netwerkadressen van DNS server mee te sturen. Het DHCP protocol specificeert een framework dat het mogelijk maakt om configuratie-informatie door te sturen naar hosts op een TCP/IP netwerk.  +
DKIM +DKIM (DomainKeys Identified Mail Signatures) koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail. Daardoor kunnen spam- en phishing-mails beter worden gefilterd.  +
DMARC +Anti-phishing  +
DNSSEC +DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op. DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.  +
DUO gegevenswoordenboek +Het gegevenswoordenboek van DUO vormt sinds 2008 de semantische kern van wettelijke uitvoeringstaken in het onderwijs. Registraties en uitwisselingen tussen DUO, onderwijsinstellingen en andere uitvoeringsorganisaties kunnen worden geduid aan de hand van dit gegevenswoordenboek. Hergebruik is de regel. Modellen voor registraties en uitwisselingen kunnen gebruik maken van dezelfde elementen uit het gegevenswoordenboek. Het gegevenswoordenboek van DUO is gepubliceerd als linked data api.  +
DUTO (Normenkader Duurzaam Toegankelijke Overheidsinformatie) +DUTO is een lijst van eisen voor de duurzame toegankelijkheid van overheidsinformatie, die wordt ontwikkeld door het Nationaal Archief in opdracht van het ministerie van OCW. Met de DUTO-eisen kunnen overheidsorganen bepalen welke maatregelen ze moeten nemen om de digitale informatie die ze ontvangen en creëren, duurzaam toegankelijk te maken. DUTO is bedoeld voor alle informatieprofessionals die betrokken zijn bij het (her)inrichten van werkprocessen en de daarbij gebruikte applicaties.  +
Dataland gegevenswoordenboek +Gegevenswoordenboek over alle gebouwde objecten. Allereerst wordt een toelichting gegeven op de gebruikte terminologie bij de gegevensspecificaties. Vervolgens wordt het gebouwde object gedefinieerd waarop de DataLand-gegevens betrekking hebben. Daarna wordt elk DataLand-gegeven gespecificeerd. Kenmerkend daarvoor is dat DataLand per gegeven, uitzonderingen daargelaten, een voorkeur-specificatie kent en tevens één of meer alternatieve specificaties onderkent.  +
Datum en tijd +De standaard definieert een methode voor het weergeven van de datum en de tijd. De ISO 8601:2004 standaard is van toepassing wanneer data volgens de Gregoriaanse kalender wordt weergegeven, tijden in de het 24-uurs systeem en bij tijdsintervallen, of herhalende tijdsintervallen. Deze ISO standaard zegt niets over data en tijden waarbij woorden worden gebruikt in de representatie en het zegt tevens niets over data en tijden indien bij de representatie geen karakters worden gebruikt.  +
De Monitor Open Standaardenbeleid 2017 als herbruikbare data in NORA ontsloten +De Monitor Open Standaardenbeleid 2017 als herbruikbare data in NORA ontsloten  +
De Nederlandse Loonaangifteketen wint de ASAP Individual Alliance Excellence Award 2017 +De Nederlandse Loonaangifteketen wint de ASAP Individual Alliance Excellence Award 2017  +
De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan +De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan  +
De Privacy Baseline +De Privacy Baseline is een product van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] en is daar een onderdeel van de documentenreeks 'Grip op Privacy.' Het doel van deze documenten is om praktische handvatten te bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren. Dit [[normenkader]] heeft dus betrekking op het onderwerp [[Privacy]] en bestaat uit [[privacyprincipes]], onderliggende [[normen]] en begeleidende teksten. Die zijn gebaseerd op de oorspronkelijke [[media:Privacy Baseline.pdf|CIP-publicatie (PDF, 2,18 MB)]] ===Ontstaansgeschiedenis en relatie met ISOR=== Voor de Privacy Baseline zijn de privacyprincipes uit de wet [[Algemene Verordening Gegevensbescherming (AVG)|AVG]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de [[SIVA-methode]] is ervoor gekozen de Privacy Baseline ook in de [[ISOR]] te plaatsen, in hetzelfde format als de normenkaders Informatiebeveiliging. Een verschil in ontstaansgeschiedenis is de indeling van de principes en onderliggende normen in [[Alle invalshoeken|Invalshoeken]], een belangrijk kernonderdeel van de SIVA-methode om lacunes in de objectenanalyse te ontdekken. Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacy''wet''. De pretentie is dan ook niet om deze op volledigheid en consistentie te toetsen, doch om de gebruiker een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. Toch hebben we zoveel mogelijk - achteraf - de invalshoek ingevuld in de Privacy Baseline om de eenvormigheid binnen de ISOR te vergroten en een indicatie te geven van het handelingsperspectief voor het betreffende onderdeel.  +
De identiteit van een subject is niet uniek +De identiteit van een subject is niet uniek. Van één bepaald subject zijn vaak meerdere identiteiten binnen een organisatie geregistreerd.  +
De lanceringsbijeenkomst voor de DERA 2.0 was een groot succes +De lanceringsbijeenkomst voor de DERA 2.0 was een groot succes  +
De monitor open standaardenbeleid 2016 verwerkt in NORA-wiki +De monitor open standaardenbeleid 2016 verwerkt in NORA-wiki  +
De omgevingsvergunning +Wie een huis wil bouwen, krijgt te maken met verschillende vergunningen en voorschriften. Het gaat om regelingen voor wonen, ruimte en milieu met elk hun eigen criteria en procedures. De vergunningen worden verstrekt door verschillende overheidsinstanties. Dit is voor burgers, bedrijven én de overheid onoverzichtelijk, tijdrovend en kostbaar. Het kan bovendien leiden tot tegenstrijdige beslissingen. Om in deze situatie verbetering te brengen, regelt de Wet algemene bepalingen omgevingsrecht (Wabo) de bundeling van verschillende vergunningen tot één omgevingsvergunning. Gemeenten fungeren hiervoor als loket. Achter dit loket worden de (deel)aspecten nog steeds beoordeeld door verschillende overheidsorganisaties, maar zij stemmen hun activiteiten af om tot één besluit te komen.  +
De rol van de architect in rijksbrede samenwerking en tactisch beheer van architectuur +Rijkswaterstaat neemt deel aan veel van de Rijksbreed bepaalde initiatieven, toch valt het niet mee om samen met anderen echt effectief te werken aan een stelsel van diensten en functies die (voor de burger en andere overheden) in te passen is in het strategisch beleid rond functieontwikkeling. Architectuur en de NORA voorop, zouden hier de vaandeldragers in moeten zijn. Toch hangt er altijd de geur van de ivoren toren rond architectuur Rijk en komt het bijna niet tot tactisch beheer tussen Rijkspartners. Tactisch in de zin dat afspraken die het operationaliseren van architectuur mogelijk maken echt worden doorvertaald en gebruikt. Onze parallel sessies gaan daarover en over een mogelijke rol van de architect in het verbeteren van dat proces.  +
De tweede druk van Ketens de Baas is nu ook te downloaden als pdf of EPUB +De tweede druk van Ketens de Baas is nu ook te downloaden als pdf of EPUB  +
Definitie Informatiecatalogus +Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen?  +
Definities Geostandaarden +Ook wel genoemd de NEN 3610 conceptenbibliotheek. Hier vindt u definities van concepten die gebruikt worden in [[NEN 3610]] informatiemodellen. Op dit moment zijn dit IMGeo, NEN3610 en IMRO beheerd door Geonovum en IMBRT beheerd door het Kadaster.  +
Definiëren van toegangsrechten is een moeizaam en langdurig proces +Definiëren van toegangsrechten is een moeizaam en langdurig proces.  +
Dienst +Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers).  +
Dienstverlener +De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers)  +
DigiD +DigiD is het digitale authenticatiesysteem voor overheidsorganisaties en publieke dienstverleners. Met DigiD kunnen zij online de identiteit van burgers vaststellen. DigiD zorgt ervoor dat overheidsorganisaties en publieke dienstverleners betrouwbaar zaken kunnen doen met burgers via hun website. Logt een burger met zijn persoonlijke DigiD in? Dan krijgt hij via DigiD het Burgerservicenummer (BSN) teruggekoppeld. Zo weten ze precies met wie ze te maken hebben, en kunnen ze direct nagaan welke informatie ze al hebben over een persoon.  +
DigiD Machtigen +Met DigiD Machtigen kunnen burgers hun overheidszaken via internet door iemand anders laten regelen. Dit is handig als ze hier zelf niet toe in staat zijn. Of ze vinden het makkelijk als iemand anders dit voor ze doet. Het afstaan van de persoonlijke DigiD is hierbij niet nodig. Organisaties die gebruik mogen maken van DigiD kunnen DigiD Machtigen inzetten voor alle digitale diensten aan burgers waarvoor zij DigiD inzetten. Sinds 2012 is het, met de invoering van de diensten catalogus, mogelijk om met één machtigingshandeling een burger voor meerdere diensten te machtigen.  +
DigiInkoop +DigiInkoop (voorheen Elektronisch Bestellen en Factureren (EBF)) is de nieuwe digitale voorziening voor de Rijksdienst en haar leveranciers om het inkoopproces efficiënter, doelmatiger, rechtmatiger en makkelijker te maken. In 2012 en 2013 wordt DigiInkoop gefaseerd ingevoerd bij de ministeries en agentschappen. DigiInkoop bestaat uit een berichtenverkeervoorziening (BVV via [[Digipoort]]) en een e-purchasingvoorziening (EPV).  +
Digikoppeling +Digikoppeling bestaat uit, door het College Standaardisatie vastgestelde, koppelvlakstandaarden. Die standaarden bevatten logistieke afspraken om berichten juist te adresseren, leesbaar en uitwisselbaar te maken en veilig en betrouwbaar te verzenden. Digikoppeling gaat over de 'envelop' en voert uit wat daar op staat. De gegevens gaan dan naar de juiste overheidsorganisatie en naar het juiste adres. Aangetekend of juist niet, versleuteld, als herhaalde aanbieding, of retour-afzender. De inhoud van het bericht in de envelop is voor de geadresseerde. Digikoppeling onderkent twee hoofdvormen van berichtenverkeer: bevragingen en meldingen. De vorm van het berichtenverkeer bepaalt welke koppelvlakstandaard moet worden geïmplementeerd (in de meeste gevallen zal een organisatie aan beide behoefte hebben) Uitgangspunt van Digikoppeling is dat een organisatie op één plaats in de eigen ICT-infrastructuur een koppelpunt volgens Digikoppeling inricht. Digikoppeling biedt een aantal ondersteunende voorzieningen voor de implementatie: Serviceregister, Compliancevoorzieningen en CPA-creatievoorziening. Digikoppeling bestaat dus uit: *[[Digikoppeling (Standaarden)|Digikoppeling Standaarden]] *Digikoppeling-compliancevoorziening *CPA-Creatievoorziening *OIN-register  +
Digikoppeling (Standaarden) +Digikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties. Digikoppeling onderkent twee hoofdvormen van berichtenverkeer: * Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden. * Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden. Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1. In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven.  +
Digilevering +Overheidsinstellingen moeten op de hoogte zijn van gebeurtenissen die voor hun taken relevant zijn. Denk aan de geboorte van een persoon, het starten van een onderneming of het vaststellen van een inkomen. Basisregistraties kunnen gegevens over deze gebeurtenissen leveren. Afnemers van de basisregistraties kunnen zich met Digilevering abonneren op deze gebeurtenissen.  +
Digimelding +Digimelding is de generieke oplossing voor het melden van onjuistheden in basisregistraties. Wanneer overheidsorganisaties gebaseerd op hun eigen informatie vermoeden dat een gegeven in een basisregistratie niet (meer) klopt, kunnen ze dat met Digimelding melden aan de bronhouder. Die onderzoekt de melding vervolgens en wijzigt als dat nodig is de gegevens in de basisregistratie. Digimelding zorgt dat meldingen op een uniforme wijze gebeuren en bij de juiste bronhouder terecht komen. Digimelding bestaat uit twee onderdelen: * [[Digimelding BLT]] * [[Digimelding AS|Digimelding Annotatiespecificatie]]  +
Digimelding BLT +Een voorziening voor het laagdrempelig terugmelden door afnemers. Door één terugmeldvoorziening te ontwikkelen wordt voorkomen dat iedere basisregistratie deze voorziening apart moet ontwikkelen. Ook hoeft een afnemer niet aan iedere basisregistratie op een afwijkende manier terug te melden.  +
Digimelding Specificaties +De Digimelding Annotatie Specificatie (Digimelding AS) en de Digimelding Protocol Specificatie (DMPS) zijn specificaties voor het uitwisselen van terugmeldingen.  +
Diginetwerk +Koppelen gesloten netwerken (o.a. Haagse Ring, Rijksconnect, Rijksinternet)  +
Digipoort +Digipoort is dè plek op internet waar bedrijven hun digitale informatie voor de overheid kunnen aanleveren. Digipoort zorgt er voor dat deze bij de juiste overheidsinstantie wordt afgeleverd. Of in omgekeerde richting.  +
Digitale Basisinfrastructuur +Het beleidskader bevat de uitgangspunten voor de digitale basisinfrastructuur, die dienstverleners met een publieke taak gebruiken voor de inrichting van de publieke dienstverlening aan burgers en bedrijven en waar nodig ook voor hun onderlinge digitale samenwerking.  +
Digitoegankelijk (EN 301 549 met WCAG 2.0) +Door toepassing van Digitoegankelijk worden websites en webapplicaties toegankelijk voor mensen met een functiebeperking. Zo krijgen onder andere dyslectici, kleurenblinden, slechtzienden en blinden dezelfde toegang tot overheidsinformatie als mensen die deze functiebeperkingen niet hebben.  +
Discpl - a global Society Architecture +[[Afbeelding:Discipl-xl-300x300.png|thumb|300px|right|alt=Logo van discipl, een rondje met daarin een netwerk van ovalen, waarvan een aantal gekleurd zijn in roze en licht of donkerblauw.]]DIStributed Collaborative Information Platform (Discipl) klinkt voor de een als een sekte en voor de ander als een technisch feestje. De werkelijkheid is dat Bas Kaptijn, Steven Gort en hun collega's bij ICTU en daarbuiten een weldoordachte visie hebben op de toekomstige samenleving en de manier waarop we die digitaal kunnen ondersteunen.De basis van die visie zijn 'needs' - behoeften van burgers en bedrijven. Discipl biedt uitgangspunten om het vervullen van die behoeften te ondersteunen, waarbij AI en digitale middelen de menselijkheid van de samenleving niet verkleinen maar vergroten: niet 'computer says no' maar een menselijk gesprek en menselijke bemiddeling bij geschillen die worden gefaciliteerd en waar nodig geïnitieerd door de 'computer'. Bas en Steven publiceerden in 2017 al een whitepaper over discipl en in december komt het vervolg daarop uit. Deze presentatie leent vast uit die nieuwe whitepaper en legt het gedachtengoed van Discipl èn de praktijkervaring die ze er al mee hebben opgedaan uiteen. Insteek is daarbij dat Discipl een voorbeeld is van Society Architecture. Lees vast meer over discipl op [https://discipl.org/ discipl.org] of lees de oude whitepaper op [https://www.ictu.nl/discipl-technologie-voor-een-samenleving-van-de-toekomst ictu.nl].  +
DoD 5015.2-STD:2007 Electronic Records Management Software Applications Design Criteria Standard +Electronic Records Management Software applications design criteria Standard DoD 5015.2-STD definieert functionele eisen voor recordsmanagement software en is goedgekeurd door het Nationale archief van de VS. De standaard is ontwikkeld en wordt onderhouden door het Amerikaanse ministerie van Defensie en wordt gebruikt door vele staten en lagere overheden in de VS. Onder de standaard functioneert een uitgebreid certificatieprogramma voor recordsmanagement software en vele (internationale) pakketten zijn inmiddels gecertificeerd. Van de standaard is ook een Nederlandse bewerkte vertaling beschikbaar.  +
Doelarchitectuur +Beschrijving van de gewenste situatie in architectuur ("Soll"). Kan van toepassing zijn op een domein of organisatie en is de tegenhanger van de beschrijving van "gestolde" architectuur ("Ist"-situatie).  +
Doelbinding +Het principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.  +
Doelbinding gegevensverwerking +Het uitgangspunt van doelbinding is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doel-omschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.  +
Doorgifte persoonsgegevens +Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijke<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 28 lid 1.</sup><sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 28 lid 10</sup>. Indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd. Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 27 lid 1.</sup>. Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de Avg geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de Avg van doorgifte aan derde landen en internationale organisaties.  +
Dublin Core metadata element set +Wereldwijde set algemene standaarden en richtlijnen voor metadatering van content op internet, ontwikkeld en beheerd door het Dublin Core Metadata Initiative. Het DCMI is een internationale open community van experts en geïnteresseerden in metadata.  +
E
E-factureren +Bij e-factureren gaat het om het elektronisch verzenden of ontvangen en verwerken van facturen. E-factureren heeft als doel om de huidige verwerking van facturen te automatiseren.  +
E-portfolio NL +NTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties.  +
EAC-CPF (Encoded Archival Context for Corporate Bodies, Persons, and Families) +EAC is een datamodel in XML, voor de toepassing van ISAAR(CPF)en voorziet in een grammatica voor het coderen van de namen van de makers van archiefmateriaal en gerelateerde informatie.  +
EAD (Encoded Archival Description) +EAD is een datamodel in XML, voor de toepassing van ISAD(G), dat is ontwikkeld voor het maken, opslaan, publiceren, koppelen en uitwisselen van archiefbeschrijvingen.  +
EAR begrippenlijst +Begrippen gebruikt in de [[EAR (EnterpriseArchitectuur Rijksdienst)]].  +
ECLI (European Case Law Identifier) +Met de ECLI standaard kunnen: #alle rechterlijke uitspraken in de Europese Unie (zowel van nationale als van Europese gerechten) worden voorzien van een gelijkaardige, unieke en persistente identifier. Deze identifier kan worden gebruikt voor identificatie en citatie van rechterlijke uitspraken en derhalve om deze te vinden in binnenlandse of, buitenlandse, Europese of internationale jurisprudentiedatabanken. #alle rechterlijke uitspraken worden voorzien van uniforme metadata, gebaseerd op de Dublin Core standaard. Het zoeken van uitspraken in allerlei databanken worden daardoor gefaciliteerd.  +
EHerkenning +eHerkenning is een efficiënte én betrouwbare dienst die de digitale herkenning van (zakelijke) afnemers van overheidsdiensten eenvoudig regelt. Een eenvoudige manier van inloggen, identificeren en zetten van digitale handtekeningen met één middel voor meerdere overheidsdiensten. Met eHerkenning is het eenvoudiger voor bedrijven en overheidsdienstverleners om elektronisch zaken (zoals de aanvraag van een bouwvergunning, een ziekmelding van een werknemer of het indienen van een subsidieaanvraag) met elkaar te regelen. Er is een nieuwsbrief eHerkenning, opgeven via [https://eherkenning.nl/nieuws/nieuwsbrief-eherkenning eherkenning.nl]  +
EIDAS verordening +De eIDAS verordening van de EU gaat over electronische identificatie en het opbouwen van een Europees vertrouwenstelsel waarbinnen elkaars identificatiemiddelen worden geaccepteerd om toegang te krijgen tot (grensoverschrijdende) overheidsdienstverlening. De verordening wordt in Nederland omgezet in een [https://www.internetconsultatie.nl/eidas Uitvoeringswet]. De openbare consultatie hierover is inmiddels gesloten.  +
EIF +The European Interoperability Framework (EIF) is a commonly agreed approach to the delivery of European public services in an interoperable manner. It defines basic interoperability guidelines in the form of common principles, models and recommendations.  +
EIRA architectuurlagen.png +Schema van de vier architectuurlagen in de EIRA: Legal view, Organisational view, Semantic view, Technical view (Application and infrastructure). De lagen zijn elk gemodeleerd in ArchiMate en een strippellijn toont dat er relaties tussen elementen in de verschillende lagen bestaan.  +
EML NL +Nederlands toepassingsprofiel op de Election Markup Language. De EML_NL standaard versie 1.0 definieert de gegevens en de uitwisseling van gegevens bij verkiezingen die vallen onder de Nederlandse Kieswet. Het gaat daarbij om de uitwisseling van kandidaatgegevens en uitslaggegevens.  +
EPUB +eBooks of digitale boeken in het ePUB formaat bevatten (in tegenstelling tot bij voorbeeld PDF), minimale opmaak zodat de lezer op zijn apparaat zelf kan kiezen wat het prettigst leest. Zo bevat een ePUB geen paginering en kan de lettergrootte door de gebruiker worden aangepast waardoor de pagina opnieuw uitlijnt.  +
Een gebruikerssurvey over de NORA wiki is uitgestuurd +Een gebruikerssurvey over de NORA wiki is uitgestuurd  +
Een koppelvlak is een Single Point of Failure +Een koppelvlak is een Single Point of Failure. Wanneer er onverhoopt een storing optreedt in één koppelvlak, dan wordt de hele communicatieketen van zones daardoor negatief beïnvloed.  +
Eerste bijeenkomsten NORA Gebruikersraad +Eerste bijeenkomsten NORA Gebruikersraad  +
Eerste versie van het thema Gegevensmanagement +Eerste versie van het thema Gegevensmanagement  +
Eigenaarschap +Binnen Huisvesting Informatievoorziening worden verschillende bedrijfsmiddelen toegepast. Voor een betrouwbare dienstverlening door de Huisvesting Informatievoorziening aan de klanten moeten deze bedrijfsmiddelen continu onderhouden of vernieuwd worden. Tevens moeten deze middelen blijvend aan de actuele beveiligingseisen voldoen. Om te borgen dat de juiste acties aangaande de bedrijfsmiddelen worden ondernomen moet de organisatie de bedrijfsmiddelen toewijzen aan eigenaren en daarbij de taken en verantwoordelijkheden vastleggen.  +
Eigenaarschap van bedrijfsmiddelen +Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan haar toegekende verantwoordelijkheid het toegangbeveiligingssysteem, conform de hieraan gestelde eisen, kan inrichten.  +
Elektronische berichten +Beveiliging van elektronisch berichtenverkeer, omvat e-mail, web-verkeer, schatsessies en ‘streaming’ van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreft: * correcte adressering; * geautoriseerde toegang; * integer datatransport; * toereikend zijn van de beschikbaarheid; * voldoen aan (wettelijke) bepalingen voor elektronische handtekening en onweerlegbaarheid.  +
Engineeringprincipes beveiligde systemen +Bij het ontwikkelen van applicaties worden engineeringprincipes in acht genomen. In ISO zijn twee principes expliciet genoemd: Security by design en defense in depth, hiernaast bestaan nog verschillende andere van belang zijnde principes (engineeringprincipes) die in andere baselines zijn opgenomen.  +
Enterprise-architectuur +Architectuur die de huidige en toekomstige organisatiehuishouding en het transformatiepad daartussen beschrijft (“van Ist naar Soll”).  +
Er staat een technische update van noraonline gepland in de laatste week van augustus 2019 +Er staat een technische update van noraonline gepland in de laatste week van augustus 2019  +
Evaluatie richtlijnen servers en besturingssystemen +Binnen de infrastructuur bevinden zich serverplatforms met verschillende servers en besturingssystemen en die het fundament vormen voor applicaties. Deze servers en hun besturingssystemen moeten daarom continu worden onderhouden, gehardend en op een veilige wijze geconfigureerd. Het is van groot belang dat deze servers en besturingssystemen, in het kader van risicomanagement, periodiek geëvalueerd worden. De evaluatie activiteiten dienen ondersteund te worden met evaluatie richtlijnen, procedures en instructies. Anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.  +
Evalueren netwerk monitoring +Het beveiligen van de beveiligingsfuncties is cruciaal voor zekerheid over het bereiken van het beoogde beveiligingsniveau en daarvoor moet het beheer van de beveiligingsfuncties worden vastgelegd in auditlogs en worden beoordeeld; de auditlogs moeten zodanig worden ingericht dat netwerkbeheerders geen toegang kunnen hebben tot de vastgelegde beheerhandelingen.  +