1256
U

Eigenschap:Beschrijving

Uit NORA Online
Ga naar: navigatie, zoeken
KennismodelKennismodel NORA
TypeTekst
Geldige waarden
Meerdere waarden toegestaanNee
Weergave op invulformulierenTekstvak
Defaultwaarde
ToelichtingDeze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Specialisatie van



Deze eigenschap wordt gebruikt door de volgende elementtypen:


Pagina's die de eigenschap "Beschrijving" gebruiken

Er zijn 500 pagina's die deze eigenschappen gebruiken.

(vorige 500 | volgende 500) (20 | 50 | 100 | 250 | 500) bekijken.

'
'Mastering Alliances' published, a whitepaper on cross-organizational collaboration +'Mastering Alliances' published, a whitepaper on cross-organizational collaboration  +
(
(Software) configuratie management +Configuratiebeheer is het beheerproces dat onder andere verantwoordelijk is voor het registreren van de software configuratie-items (SCI's) en hun specifieke kenmerken, zodat de SCI's altijd uniek te identificeren zijn en de volledigheid en de juistheid van de in de CMDB opgenomen items gewaarborgd is. Configuratie beheer geeft inzicht in de status van de verschillende SCI’s die binnen het ontwikkeltraject worden gebruikt en geeft de relaties weer tussen deze SCI’s. Hierdoor wordt duidelijk welke gevolgen aanpassingen van het ene SCI heeft voor andere SCI’s.  +
(Ver)sterkte authenticatie +(Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.  +
1
14+ netnummer +Met een 14+netnummer krijgen gemeenten een herkenbare telefonische ingang. Een 14+netnummer begint met de cijfers 14 en eindigt op het netnummer van de gemeente (zoals 14 010 of 14 0115). Door te bellen met het 14+netnummer komt de burger uit bij zijn gemeente.  +
7
7 November 2018 Congres Linked Data is FAIR voor Iedereen +7 November 2018 Congres Linked Data is FAIR voor Iedereen  +
@
@TIOH sessie juni 2019 +Tweede sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Op het programma in ieder geval een kijkje in de keuken van DNB Toezicht, met oog voor de digitale ambitie en voorbeelden van innovatief gebruik van data (science) in het toezicht. Andere onderwerpen kunnen nog worden aangemeld, zeker als ze hier bij aansluiten. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
@TIOH sessie november 2019 +Derde sessie van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. Onderwerpen kunnen nog worden aangemeld. NB: De [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)|community]] heeft een [https://noracommunity.pleio.nl/groups/profile/57979282/tioh besloten Pleio-groep] waarop documenten en verslagen gedeeld worden. Alleen mensen die beschikken over een mailadres van een publieke organisatie in de domeinen Toezicht Inspectie Opsporing en/of Handhaving mogen hiervan lid worden.  +
A
AES +De AES-standaard is een versleutelingstechniek voor de bescherming van de vertrouwelijkheid van opgeslagen en verzonden data en is de vervanger van de verouderde DES standaard. AES wordt zowel binnen Nederland als wereldwijd zeer veel en op, op zeer veel verschillende wijzen gebruikt. Voorbeelden van het gebruik zijn: # In programma's zoals WinRAR, WinZip, PowerArchiver, e.d. wordt AES als encryptie aangeboden. # AES wordt toegepast voor beveiliging (WPA2) in draadloze netwerken (Wifi), zie IEEE 802.11i. # AES wordt toegepast voor het versleutelen van gegevens voor verzending over het internet, https verkeer etc. # In hardware voor netwerken wordt veelvuldig gebruikt gemaakt van AES.  +
ASN.1 +ASN is een standaard manier voor het beschrijven van data die binnen een netwerk verzonden of ontvangen worden. Abstract syntax notation one (ASN.1). ASN.1 wordt veel gebruikt voor het beschrijven van X.509 certificaten en de toepassing ervan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast beschrijft deze standaard rollen en structuren om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen. Hierdoor is het mogelijk grote hoeveelheden gegevens geautomatiseerd te valideren aan de hand van specificaties met behulp van software tools.  +
Aanwijzingen voor de regelgeving +Circulaire van de Minister-President, Aanwijzingen waarbij de wetgevingstechniek en de wetgevingskwaliteit centraal staan. Hoofdstuk 5, paragraaf 8 behandelt de Informatievoorziening en Gegevensverwerking. Bevat de aanwijzigingen: Aanwijzing 5.31. Aansluiten bij definities basisregistraties Indien voor de uitvoering van een regeling gegevens van burgers, bedrijven of instellingen nodig zijn, wordt voor de omschrijving van de daaraan ten grondslag liggende begrippen zoveel mogelijk verwezen naar of aangesloten bij de definities uit de wetten inzake de basisregistraties Aanwijzing 5.32. Informatieparagraaf in toelichting Indien voor de uitvoering van een regeling de beschikbaarheid of uitwisseling van informatie tussen overheidsorganisaties van betekenis is, wordt in een aparte informatieparagraaf in de toelichting aandacht besteed aan de wijze waarop de informatievoorziening organisatorisch en technisch is ingericht. Aanwijzing 5.33. Verwerking van persoonsgegevens Bij het opnemen in een regeling van bepalingen over de verwerking van persoonsgegevens bevat de regeling een welbepaalde en uitdrukkelijke omschrijving van de doeleinden van de gegevensverwerking en bevat de toelichting een expliciete afweging van de belangen van verantwoordelijken en betrokkenen in relatie tot die doeleinden. Aanwijzing 5.34. Structurele basis verstrekking persoonsgegevens Indien het noodzakelijk is dat op structurele basis wordt voorzien in de onderlinge verstrekking van persoonsgegevens tussen bestuursorganen of toezichthouders, terwijl geldende geheimhoudingsbepalingen daaraan in de weg staan, wordt op het niveau van de formele wet voorzien in een uitdrukkelijke regeling van de gegevensverstrekking, met inbegrip van de vaststelling van het doel van de gegevensverstrekking.  +
Ades Baseline Profiles +Elektronische handtekeningen worden gebruikt voor het ondertekenen van digitale berichten. Een elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch bericht inderdaad afkomstig is van de ondertekenaar en dat deze de inhoud van het bericht onderschrijft. Voor het ondertekenen van berichten die een hoger niveau van betrouwbaarheid vereisen, kunnen geavanceerde elektronische handtekeningen of gekwalificeerde elektronische handtekeningen worden gebruikt. De AdES Baseline Profiles zorgen ervoor dat een geavanceerde/gekwalificeerde elektronische handtekening voor de ondertekenaar en ontvanger uitwisselbaar is door eisen te stellen aan de minimale set aan informatie die wordt uitgewisseld. De AdES Baseline Profiles beschrijven de minimale set aan gegevens die uitgewisseld moeten worden om aan de eisen van een geavanceerde elektronische handtekening te voldoen. Een geavanceerde elektronische handtekening voldoet aan vier eisen: # De handtekening is op unieke wijze aan de ondertekenaar verbonden; # De handtekening maakt het mogelijk de ondertekenaar te identificeren; # De handtekening komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; # De handtekening is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging van de gegevens, na ondertekening, kan worden opgespoord.  +
Afnemer +De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.  +
Algemene Verordening Gegevensbescherming (AVG) +Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De [[Wet Bescherming Persoonsgegevens]] geldt dan niet meer. In feite is de AVG nu al van toepassing (28 mei 2016) maar wordt zij pas gehandhaafd vanaf 28 mei 2018.  +
Analyse en specificatie van informatiebeveiligingseisen +Zoals hierboven gesteld heeft het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ betrekking op niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid.  +
Analyse en specificatie van informatiesystemen +Het analyseren en specificeren van requirements is een proces van het traceren en onderkennen van functionele en niet-functionele requirements waar de te ontwikkelen applicatie aan moet voldoen. Ook worden de constraints geïdentificeerd die zullen gelden in de ontwikkel- en de operatie fases. Het ontwikkelen van informatiesystemen wordt tegenwoordig veelal uitgevoerd conform de iteratieve ontwikkelmethode (Agile). Onafhankelijk van de methode, traditioneel, waterval of iteratief (Agile), is sprake van een aantal ontwikkelstappen waar aandacht wordt besteed aan: * functionele eisen, zoals functionaliteiten, gegevens, businessrules, presentatie, interactie en foutafhandelingen; * niet-functionele eisen, zoals betrouwbaarheid; gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance, flexibiliteit in overdraagbaarheid. In de ISO27001/2 wordt ten aanzien van dit thema alleen focus gelegd op niet-functionele eisen (beveiligingseisen). Daarom is naast het object ‘Analyse en specificatie van Informatiebeveiligingseisen’ ook het object ‘Analyse en specificatie van Informatiesystemen’ toegevoegd, waarbij de nadruk gelegd wordt op functionele eisen. Dit thema is ‘Baseline based’ en met lineaire volgens V-model aanpak uitgewerkt. Aangezien bij Agile niet op deze wijze wordt gewerkt, verdient dit aspect extra aandacht.  +
Antwoord voor bedrijven +De website Antwoord voor bedrijven is per 15 september 2014 opgegaan in Ondernemersplein.nl. De website maakt ondernemers wegwijs door de grote hoeveelheid informatie van de overheid. Binnen- en buitenlandse dienstverleners vinden op deze website informatie van de overheid over onder meer wet- en regelgeving, vergunningen en aanvraagprocedures. Daarnaast kunnen zij via dit elektronische kanaal met overheidsorganisaties procedures en formaliteiten afwikkelen, zoals het aanvragen en verkrijgen van vergunningen. Antwoord voor bedrijven voert regelmatig gebruikersonderzoeken met een actief ondernemerspanel uit. Zo houden ze in de gaten of het loket aansluit op de wensen van de gebruikers.  +
Apparatuur positionering +In de Huisvesting-IV bevindt zich verschillende apparatuur. Deze apparatuur dient zo te zijn gepositioneerd en beschermd, dat verlies, diefstal, onderbreking van bedrijfsmiddelen wordt voorkomen .  +
Apparatuur verwijdering +Apparaten kunnen cruciale data bevatten. Het verwijderen van apparaten moet daarom volgens vastgestelde procedures plaatsvinden.  +
Applicatie architectuur +De applicatie architectuur beschrijft de samenhang tussen functionele en beveiligingseisen. Ook wordt er aandacht besteed aan de integratie aspecten met de infrastructuur. Vanuit een eenduidig beeld wordt de applicatie conform deze architectuur gerealiseerd. Richtlijnen, instructies, architectuur- en beveiligingsvoorschriften en procedures worden zodanig toegepast dat een samenhangend geheel ontstaat. Op deze manier wordt ook zeker gesteld dat de applicatie aan de vereiste functionele en beveiligingseisen voldoet.  +
Applicatie functionaliteiten +Applicatie functionaliteiten zijn interne functies binnen een applicatie die ondersteuning bieden aan (een) bedrijfsproces(sen). De functies kunnen worden onderverdeeld in invoer-, verwerking- en uitvoerfuncties. Binnen de functies worden controles en rekenregels ingebouwd om de gewenste acties te kunnen uitvoeren en gewenste resultaten te kunnen leveren. Het totaal aan functionaliteiten moet aan bepaalde eisen voldoen, zo moeten functionaliteiten: * voldoen aan de behoefte van de gebruikers; * de gebruikerstaken afdekken; * resultaten leveren die nauwkeurig zijn; * geschikt zijn om bepaalde taken te kunnen ondersteunen.  +
Applicatie ontwerp +Tijdens de ontwerpfase worden de (niet)functionele requirements omgezet naar een uitvoerbaar informatiesysteem. Een high level architectuur wordt ontwikkeld om de software te kunnen bouwen. Hierbij wordt, onder andere, aandacht besteed aan de gebruikte data door het systeem, de functionaliteit die geboden moeten worden, de toegepaste interfaces tussen componenten binnen het systeem en aan koppelingen met andere systemen. Ook worden constraints die voortvloeien uit specifieke beveiligingseisen verder uitgewerkt.  +
Applicatiebouw +Na de eerste twee ontwikkelfasen waarbij de nadruk ligt op de analyse van requirements en op het ontwerp van het product volgt de derde fase: de applicatiebouw. In deze derde fase wordt de programmacode gecreëerd op basis van good practices, methoden/technieken en bepaalde beveiligingsuitgangspunten.  +
Applicatiekoppelingen +Bij het ontwikkelen van applicatie kunnen mogelijk koppelingen tussen de in ontwikkel zijnde applicatie en andere applicaties noodzakelijk zijn. Vanuit beveiligingsoogpunt dienen dit soort koppelingen aan bepaalde eisen voldoen.  +
Applicatieontwikkeling Beleid +Binnen het Beleiddomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B.01</td> <td>Beleid voor (beveiligd) ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td>B.05</td> <td>Business Impact Analyse (BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens (GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td>B.08</td> <td>Toegangbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Control +Binnen het Control domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >C.01</td> <td >Richtlijnen evaluatie ontwikkelactiviteiten</td> <td >ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >C.02;</td> <td >Versiebeheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.03</td> <td >Patchmanagement van externe programmacode</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.04</td> <td >(Software)configuratie beheer</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.05</td> <td >Compliance management</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.06</td> <td >Quality assurance</td> <td >CIP Domeingroep BIO</td> <td >F</td> </tr> <tr> <td >C.07</td> <td >Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td >ISO27002: 14.2.3</td> <td >F</td> </tr> <tr> <td >C.08</td> <td >Beheersing van softwareontwikkeling(sprojecten</td> <td >CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Controldomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Applicatieontwikkeling Uitvoering +Binnen het Uitvoering domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Applicatieontwikkeling beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Applicatieontwikkeling. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoering domein een rol spelen|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] <table class="wikitable"> <tr> <th >Nr</th> <th >Objecten</th> <th >Referentie</th> <th >IFGS</th> </tr> <tr> <td >U.01</td> <td >;Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td >ISO27002: 14.2.2</td> <td >I</td> </tr> <tr> <td >U.02</td> <td >Beperkingen voor de installatie van software (richtlijnen)</td> <td >ISO27002: 12.6.2</td> <td >I</td> </tr> <tr> <td >U.03</td> <td >Richtlijnen voor programmacode (best practices)</td> <td >CIP Domeingroep BIO</td> <td >I</td> </tr> <tr> <td >U.04</td> <td >Analyse en specificatie van informatiesystemen</td> <td >Cobit</td> <td >F</td> </tr> <tr> <td >U.05</td> <td >Analyse en specificatie van informatiebeveiligingseisen</td> <td >ISO27002:14.1.1</td> <td >F</td> </tr> <tr> <td >U.06</td> <td >Applicatie ontwerp</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.07</td> <td >Applicatiefunctionaliteiten (invoer, verwerking, uitvoer)</td> <td >ISO27002:12.2.1, 12.2.2, 1.2.2.4, BIR 1.0</td> <td >F</td> </tr> <tr> <td >U.08</td> <td > Applicatiebouw</td> <td >SoGP</td> <td >F</td> </tr> <tr> <td >U.09</td> <td >Testen van systeembeveiliging</td> <td >ISO27002:14.2.8</td> <td >F</td> </tr> <tr> <td >U.10</td> <td >Systeemacceptatie tests</td> <td >ISO27002:14.2.9</td> <td >F</td> </tr> <tr> <td >U.11</td> <td >Beschermen van testgegevens</td> <td >ISO27002:14.3.1</td> <td >F</td> </tr> <tr> <td >U.12</td> <td >Beveiligde Ontwikkel- (en Test-)omgeving</td> <td >ISO27002: 14.2.6</td> <td >G</td> </tr> <tr> <td >U.13</td> <td >Applicatiekoppelingen</td> <td >ISO25010, NIST CA, CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.14</td> <td >Logging en monitoring</td> <td >CIP Domeingroep BIO</td> <td >G</td> </tr> <tr> <td >U.15</td> <td >Applicatie/software architectuur</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <tr> <td >U.16</td> <td >Tooling ontwikkelmethode</td> <td >ISO25010, CIP Domeingroep BIO</td> <td >S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Voor het Uitvoeringdomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Aquo-lex en Aquo Objecten Catalogus +Aquo-lex (het ‘waterwoordenboek') bevat circa 7.500 definities voor termen. De fouten die bij gegevensuitwisseling optreden, ontstaan vaak door verschil in betekenis. Door deze ‘standaardtaal' te gebruiken, wordt spraakverwarring tussen mensen en/of informatiesystemen voorkomen. Aquo-lex wordt geïntegreerd in de Aquo Objecten Catalogus (Aquo OC). Deze catalogus bevat relaties tussen de begrippen uit Aquo-lex. De gebruiker ervan kan snel termen vinden en in hun context plaatsen.  +
Aquo-standaard +Aquo-standaard – de uniforme taal voor de uitwisseling van gegevens binnen de watersector. De Aquo-standaard maakt het mogelijk om op een uniforme manier gegevens uit te wisselen tussen partijen die betrokken zijn bij het waterbeheer en draagt daarmee bij aan een kwaliteitsverbetering van het waterbeheer. Het eenvoudig en eenduidig delen van informatie leveren tijd- en geldwinst op. De Aquo-standaard is een open standaard en staat op de lijst met ‘pas toe of leg uit‘-standaarden van de overheid en bestaat uit meerdere onderdelen. Alle informatie is vrij toegankelijk en gratis te downloaden.  +
ArchiMate +Een beschrijvingstaal voor enterprise-architecturen.  +
Architectuur +Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.  +
Architectuur Board stelt doorontwikkeling in op drie katernen +Architectuur Board stelt doorontwikkeling in op drie katernen  +
Architectuurproducten +Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.  +
Authenticatie +Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.  +
Authenticiteit +Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.  +
Authentiek gegeven +In een basisregistratie opgenomen gegeven dat bij wettelijk voorschrift als authentiek is aangemerkt  +
Autorisatie +Voor de betiteling ‘Beperking toegang tot informatie’ is gekozen om het object “Autorisatie’ te gebruiken omdat het beter aansluit op een van toegangsmechanismen, identificatie, authenticatie en autorisatie. Na het identificatie- en authenticatieproces krijgen gebruikers/beheerders verdere specifieke toegang tot informatiesystemen voor gebruik of voor beheerdoeleinden. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de het toegangsbeleid.  +
Autorisatie +Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen  +
Autorisatieproces +De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven.  +
Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit +Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door te hoge granulariteit.  +
Autorisatievoorzieningsfaciliteiten +Om autorisatie efficiënt en effectief te kunnen inrichten zijn er technische autorisatievoorzieningsmiddelen noodzakelijk, personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten.  +
B
BAG (Basisregistratie Adressen en Gebouwen) +De Basisregistratie Adressen en Gebouwen (BAG) is de registratie waarin gemeentelijke basisgegevens over alle gebouwen en adressen in Nederland zijn verzameld. De BAG is gebaseerd op de Wet basisregistraties adressen en gebouwen. Gemeenten zijn bronhouder van de gebouw- en adresgegevens. Alle bestuursorganen zijn verplicht om vanaf 1 juli 2011 gebruik te maken van de BAG bij de uitvoering van hun publiekrechtelijke taken.  +
BAG/BAG viewer +Website waar een BAG-kaart getoond wordt. Klikken op panden toont de onderliggende pand- en verblijfsobjectgegevens. Viewer toont actuele en historische gegevens. [https://bagviewer.kadaster.nl/lvbag/bag-viewer/index.html BAG viewer op website Kadaster].  +
BAG/Compact eenmalig of abonnement +BAG Compact is een XML-bestand met alle BAG-adressen op basis van een vaste peildatum van heel Nederland. Behalve adressen bevat het bestand ook adresgerelateerde elementen uit de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Compact.htm BAG Compact] op website Kadaster.  +
BAG/Digilevering +Abonnementenservice om realtime een bericht te ontvangen bij een wijziging in de LV BAG. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Digilevering.htm BAG Digilevering] op website Kadaster.  +
BAG/Extract +Levering van een totaalstand van alle BAG-gegevens voor het gevraagde gebied (volledige levenscyclus of op peildatum). Mogelijk om te selecteren op gemeente, meerder gemeenten of geheel Nederland. Een bestand van heel Nederland is permanent beschikbaar met een vertraging van maximaal één maand. Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de een totaalstand. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Extract.htm BAG Extract] op website Kadaster.  +
BAG/Extract mutaties +Bij een abonnement bestaan twee varianten: óf periodieke (maandelijks/dagelijks) levering van de wijzigingen ten opzichte van de voorgaande levering óf maandelijks een levering van de totaalstand.  +
BAG/Geocodeerservice +Zoekservice van [https://www.pdok.nl/diensten#PDOK%20Locatieserver PDOK] waar men kan zoeken op administratiegegevens om daarna naar de positie op de kaart van het gegeven te gaan. Bij gegevens kan men denken aan o.a. adressen, straten, woonplaatsen (BAG), maar ook aan Kadastrale informatie (DKK), weginformatie (NWB), Wijk-en buurtinformatie en Waterschapsinformatie.  +
BAG/WMS-WFS via PDOK +Biedt BAG gegevens van een in de vraag gespecificeerde geografische contour, hetzij als ‘plaatje’ (WMS) hetzij als data, welke door de afnemer gevisualiseerd, opgeslagen en bewerkt kunnen worden. De WFS service is vooralsnog gemaximeerd op 15000 objecten. *[https://www.pdok.nl/nl/service/wms-bag BAG WMS] op website PDOK. *[https://www.pdok.nl/nl/service/wfs-bag BAG WFS] op website PDOK  +
BAG/bevragen +Webservice voor het geautomatiseerd bevragen van de LV-BAG met behulp van software van de afnemer. BAG Bevragen kan de volledige levenscyclus van een object opvragen. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAG-product/BAG-Bevragen.htm BAG bevragen] op website Kadaster.  +
BGT (Basisregistratie Grootschalige Topografie) +De Basisregistratie Grootschalige Topografie (BGT) wordt een uniform topografisch basisbestand met objecten in heel Nederland op een schaal van 1:500 tot 1:5.000. Het doel van de realisatie van de BGT is dat de hele overheid gebruik maakt van dezelfde basisset grootschalige topografie van Nederland. Topografie is de beschrijving van de fysieke werkelijkheid. Dus de dingen die in het terrein fysiek aanwezig zijn.  +
BGT Gegevenscatalogus +De BGT vormt de kern (verplichtende deel) van het informatiemodel geografie (IMGeo). De verdiepingsslag van de BGT die in IMGeo is vastgelegd als het optionele deel, is bedoeld voor het opslaan en uitwisselen van beheer- en plustopografie. IMGeo zorgt ervoor dat wie de optionele informatie wil beheren en/of uitwisselen, dit volgens een landelijke standaard kan doen. IMGeo biedt ook voor 3D uitwisseling van grootschalige topografie een optionele standaard en baseert zich hiervoor op de internationale standaard CityGML.  +
BIO (Baseline Informatiebeveiliging Overheid) +De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De BIO is: * een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid; * een afgeleide van de huidige [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR2017]], die al in werking is voor het Rijk; * een concretisering van een aantal normen tot verplichte overheidsmaatregelen. Iedere overheidslaag heeft besloten de bestaande eigen baseline informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR2017. Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen. Een PDF-versie is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio] ==Hulpbronnen voor de toepassing v/d BIO in de praktijk== Het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] ontwikkelt i.s.m. het ministerie van BZK de zogenaamde BIO Thema's, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. We ontsluiten die op noraonline in de : → [[ ISOR (Information Security Object Repository)]]. Meer informatie en documenten van het CIP delen zij in het het forum op Pleio : → [https://cip.pleio.nl/ cip.pleio.nl]. Ook de Informatie Beveiligings Dienst (IBD), de sectorale CERT / CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO. : → [https://www.informatiebeveiligingsdienst.nl/producten/ informatiebeveiligingsdienst.nl/producten/]  +
BIO Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS +. [[Afbeelding:Thema Applicatieontwikkeling - Geïdentificeerde objecten ingedeeld naar IFGS.png|thumb|350px|Geïdentificeerde objecten ingedeeld naar IFGS|alt=”Geïdentificeerde objecten ingedeeld naar IFGS”]]  +
BIO Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model +. [[Afbeelding:Thema Applicatieontwikkeling - IFGS gekoppeld aan het V-model.png|thumb|350px|IFGS gekoppeld aan het V-model|alt=”IFGS gekoppeld aan het V-model”]]  +
BIO Thema Applicatieontwikkeling - Identificatie applicatieontwikkeling objecten +== Identificatie applicatieontwikkeling objecten== Objecten voor applicatieontwikkeling worden gerelateerd aan de ontwikkelfasen geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid van de invalshoek van de algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC) die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld zijn: * welke randvoorwaardelijke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en -onderhoud en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan; * welke elementen spelen vanuit de optiek van BIVC een rol bij de beheersing van applicatieontwikkeling en wat is de consequentie bij afwezigheid hiervan? ===De organisatie van applicatieontwikkelobjecten=== Zoals al in ISOR:Ontwikkelcyclus van applicatieontwikkeling is aangegeven worden de geïdentificeerde applicatie objecten op basis van de lagenstructuur: Beleid domein, Uitvoering domein en Control domein georganiseerd. Hiermee worden deze aspecten in de juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: 'Beleid domein': Binnen dit domein bevinden zich conditionele elementen over de applicatieontwikkeling. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en verboden’, zoals applicatiebeveiligingsbeleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. 'Uitvoering domein': Binnen dit domein bevinden zich: * elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van het ontwikkelen van applicaties; * elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; en * elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. 'Control domein': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing van het ontwikkelproces en/of het in standhouden van activiteiten die naar wens verlopen. ===Observatie bij de exercitie van het identificeren van objecten uit ISO=== Uit observatie van de werkgroep blijkt dat bij het identificeren van objecten uit ISO27001 weinig controls te vinden zijn die direct gerelateerd zijn aan de ontwikkelstadia: analyseren, specificeren, ontwerpen en ontwikkelen. Dit komt door het feit dat binnen ISO niet is uitgegaan van de ontwikkelfasen van systeem ontwikkeling en wellicht ook door het feit dat de activiteiten binnen deze fasen gerelateerd zijn aan specifieke methoden en/of programmeertalen. In ISO27001 zijn wel security controls en bijbehorende maatregelen aangetroffen die indirect te maken hebben met de ontwikkelfasen. ===Applicatieontwikkeling objecten geprojecteerd op BUC en gesorteerd naar IFGS=== Tabel 'Overzicht van applicatieontwikkeling objecten ingedeeld naar BUC' geeft een overzicht van de applicatieontwikkeling objecten die in hoofdstukken [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleid domein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoering domein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control domein]] nader zijn uitgewerkt. Eerst is door de werkgroepleden, vanuit een ‘baseline-based’ benadering, een lijst gemaakt van de relevante objecten uit verschillende baselines. Los van de baselines zijn enkele objecten door de werkgroep als relevant voor dit thema aangegeven (zie tabel 1). We zijn ons ervan bewust dat deze zogenaamde ‘baseline-based’ benadering tot selectie van objecten leidt die niet allemaal in de huidig wereld van systeemontwikkelingsaanpak thuishoren. We hebben ervoor gekozen om een ‘baseline-based’ toe te passen, om zo de overgang naar de Agile benadering beter te kunnen maken. Uit de inhoudelijke bestudering van de objecten, vanuit de ‘baseline-based’ benadering, bleken toch doublures te zijn in de objecten; m.a.w. twee verschillende objecten die dezelfde inhoud kenden. Sommige objecten hebben we vooralsnog bewust achterwege gelaten vanwege het geringe belang van deze objecten in relatie tot de totale scope. We willen opmerken dat er verschillende termen gehanteerd worden, zoals informatiesystemen, applicaties, systemen, toepassingen. Het op te leveren document moet qua gebruikte termen consistent zijn, daarom hebben wij ervoor gekozen om de term ‘systeem’ in de betiteling van de control (dus het object) aan te passen naar Applicatieontwikkeling. ''Beleid'' [[Afbeelding:Thema Applicatieontwikkeling - Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Beleid objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Beleid-objecten]] ''Uitvoering'' [[Afbeelding:Thema Applicatieontwikkeling - Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Uitvoering objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Uitvoering objecten]] ''Control'' [[Afbeelding:Thema Applicatieontwikkeling - Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm.png|thumb|350px|none|alt=Control objecten t.a.v. Applicatieontwikkeling gepresenteerd in matrix vorm|Control-objecten]] <table class="wikitable"> <tr> <th></th> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>Beleid domein</td> <td>B.01</td> <td>Beleid voor (beveiligd)ontwikkelen</td> <td>ISO27002: 14.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.02</td> <td>Systeem ontwikkelmethode</td> <td>SoGP</td> <td>I</td> </tr> <tr> <td></td> <td>B.03</td> <td>Classificatie van informatie</td> <td>ISO27002: 8.2.1</td> <td>I</td> </tr> <tr> <td></td> <td>B.04</td> <td>Engineeringprincipes voor beveiligde systemen</td> <td>ISO27002: 14.2.5</td> <td>I</td> </tr> <tr> <td></td> <td>B.05</td> <td>Business Impact Analyse(BIA)</td> <td>SoGP/IR2.2</td> <td>I</td> </tr> <tr> <td></td> <td>B.06</td> <td>Privacy en bescherming persoonsgegevens(GEB/DPIA)</td> <td>ISO27002:18.2.4, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>B.07</td> <td>Kwaliteit managementsysteem</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>B.08</td> <td>Toegangsbeveiliging op programmacode</td> <td>ISO27002: 9.4.5</td> <td>G</td> </tr> <tr> <td></td> <td>B.09</td> <td>Projectorganisatie</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td>Uitvoering domein</td> <td>U.01</td> <td>Procedures voor wijzigingsbeheer m.b.t. applicaties en systemen</td> <td>ISO27002: 14.2.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.02</td> <td>Beperkingen voor de installatie van software (richtlijnen)</td> <td>ISO27002: 12.6.2</td> <td>I</td> </tr> <tr> <td></td> <td>U.03</td> <td>Richtlijnen voor programmacode(best practices)</td> <td>CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>U.04</td> <td>Analyse en specificatie van informatiesystemen</td> <td>Cobit</td> <td>F</td> </tr> <tr> <td></td> <td>U.05</td> <td>Analyse en specificatie van informatiebeveiligingseisen</td> <td>ISO27002:14.1.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.06</td> <td>Applicatie ontwerp</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.07</td> <td>Applicatiefunctionaliteiten(invoer, verwerking, uitvoer)</td> <td>ISO27002:12.2.1, 12.2.2, 12.2.4, BIR 1.0</td> <td>F</td> </tr> <tr> <td></td> <td>U.08</td> <td>Applicatiebouw</td> <td>SoGP</td> <td>F</td> </tr> <tr> <td></td> <td>U.09</td> <td>Testen van systeembeveiliging</td> <td>ISO27002:14.2.8</td> <td>F</td> </tr> <tr> <td></td> <td>U.10</td> <td>Systeemacceptatie tests</td> <td>ISO27002:14.2.9</td> <td>F</td> </tr> <tr> <td></td> <td>U.11</td> <td>Beschermen van testgegevens</td> <td>ISO27002:14.3.1</td> <td>F</td> </tr> <tr> <td></td> <td>U.12</td> <td>Beveiligde Ontwikkel- (en Test-)omgeving</td> <td>ISO27002: 14.2.6</td> <td>G</td> </tr> <tr> <td></td> <td>U.13</td> <td>Applicatiekoppelingen</td> <td>ISO25010,NIST CA, CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.14</td> <td>Logging en monitoring</td> <td>CIP Domeingroep BIO</td> <td>G</td> </tr> <tr> <td></td> <td>U.15</td> <td>Applicatie architectuur</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> </tr> <tr> <td></td> <td>U.16</td> <td>Tooling ontwikkelmethode</td> <td>ISO25010, CIP Domeingroep BIO</td> <td>S</td> <tr> <td>Control domein</td> <td>C.01</td> <td>Richtlijnen evaluatie ontwikkelactiviteiten</td> <td>ISO27002: 12.6.1, CIP Domeingroep BIO</td> <td>I</td> </tr> <tr> <td></td> <td>C.02</td> <td>Versiebeheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.03</td> <td>Patchmanagement van externe programmacode</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.04</td> <td>(Software)configuratie beheer</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.05</td> <td>Quality management</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.06</td> <td>Compliance Assurance</td> <td>CIP Domeingroep BIO</td> <td>F</td> </tr> <tr> <td></td> <td>C.07</td> <td>Technische beoordeling van informatiesystemen na wijziging besturingsplatform</td> <td>ISO27002: 14.2.3</td> <td>F</td> </tr> <tr> <td></td> <td>C.08</td> <td>Beheersing van softwareontwikkeling(sprojecten</td> <td>CIP Domeingroep BIO</td> <td>S</td> </tr> <caption align="bottom">Applicatieontwikkeling, Overzicht objecten ingedeeld naar BUC</caption></table>  +
BIO Thema Applicatieontwikkeling - Inleiding +==Inleiding== Het belang en de risico’s die de organisatie aan het bedrijfsproces of beheerproces stelt, bepalen inherent de eisen die gesteld moeten worden aan de applicatie(s) die het betreffende proces ondersteunen. De risicobeoordeling van de functionaliteit, gevoeligheid van de gegevens, belang van de applicatie voor de organisatie bepalen of en welke normen van toepassing zijn. Wij willen u erop attenderen dat in dit document de termen applicatie en informatiesysteem worden gehanteerd. De ISO spreekt over informatiesystemen, dit thema betreft applicaties, wat een onderdeel is van een informatiesysteem. Bij de controls hanteren we informatiesysteem om bij de tekst van de ISO te blijven. ===Context Applicatieontwikkeling=== Dit document bevat de uitwerking van het thema ‘Applicatieontwikkeling’. Een applicatie kan worden verworven door interne ontwikkeling, uitbesteding of inkoop van een commercieel product. Dit kan ook door een combinatie van interne ontwikkeling en uitbesteding (zie afbeelding 'Overzicht van type applicaties'). Hierbij kan het voortraject (het specificeren) door de klant zelf worden verricht terwijl het technische deel (het ontwikkelen) door de externe partij wordt uitgevoerd. Hierbij zullen extra afspraken over de beveiligingsaspecten gemaakt moeten worden. Gedurende de ontwikkelcyclus van de applicatie zal voldaan moeten zijn aan zowel functionele als beveiligingseisen. Ook moeten bij de ontwikkeling het informatiebeveiligingsbeleid, wet en regelgeving (o.a. AVG, BIO) en eisen ten aanzien van de technische omgeving worden betrokken. In dit thema zullen de beveiligingseisen ten aanzien van applicatieontwikkeling worden samengesteld. Het uitgangspunt hierbij is de noodzakelijke beveiligingseisen, in de vorm van controls en onderliggende maatregelen, uit de BIO en ISO27002 (2013) in een samenhangende context te plaatsen en waar nodig deze aan te vullen met controls uit andere ISO standaarden, NIST of Standard of Good practice. Alvorens de controls, die gerelateerd zijn aan objecten, te identificeren, wordt eerst een algemene ontwikkelcyclus beschreven om een beter beeld te krijgen over de te hanteren stadia. Deze exercitie is zinvol om de geïdentificeerde objecten uit ISO/BIO en overige standaarden beter contextueel in samenhang te plaatsen. De beschrijving van de stadia vindt plaats in § 1.4 ‘Ontwikkelcyclus van applicaties’. ===Doel van het thema Applicatieontwikkeling=== Dit thema is opgesteld om zowel de interne als de externe leverancier over een instrument te laten beschikken gericht op de implementatie van applicaties in de technische omgeving van de leverancier of van de klant zelf. Het thema geeft hiermee inzicht in de kwaliteitszorg die de leverancier dient toe te passen, en wat de klant kan verwachten, bij het opleveren van nieuwe software. Het geeft tegelijkertijd de verplichte activiteiten weer van de klant. Hiernaast kan het als instrument dienen voor het geven van inzicht in het beveiligings- en beheersingsniveau van de ontwikkel- en onderhoudsorganisatie van de leverancier. ===Scope en begrenzing van Applicatieontwikkeling=== In dit thema zullen we ons voornamelijk richten op conditionele, beveiligings- en beheersingsaspecten die gerelateerd zijn aan het ontwikkelen van applicaties. We beperken ons binnen dit thema tot het inhouse ontwikkelen van applicaties en waarbij geen aandacht wordt besteed aan: * de activiteiten die gerelateerd zijn aan onderhoud van applicaties, webapplicatie en ERP pakketten (zie afbeelding 'Overzicht van type applicaties'); * het type gebruikers- en business eisen omdat deze eisen organisatieafhankelijk zijn; * de toegangsbeveiligingsaspecten omdat deze aspecten in het thema ‘Toegangsbeveiliging’ en in de SIG ISO25010 geadresseerd zijn. [[Afbeelding:Thema Applicatieontwikkeling - Overzicht van type applicaties.png|thumb|350px|Overzicht van type applicaties|alt=”Overzicht van type applicaties”]] ===Ontwikkelcyclus van applicatieontwikkeling=== Een applicatie (software) wordt ontwikkeld om een (bedrijfs)proces te ondersteunen. Hiervoor dient eerst een context analyse te worden gemaakt om de juiste functionele vereisten te identificeren. De applicatie moet voldoen aan de behoeften van gebruikers en stakeholders in de vorm van wet- en regelgeving, eisen en requirements of te wel een Programma van Eisen (PvE). Dit PvE wordt ontwikkeld in samenwerking met informatie analisten, softwareontwikkelaars en -gebruikers. De kwaliteit (succes) van een applicatie wordt o.a. bepaald door: * hoe goed de applicatie het vastgestelde programma van eisen weerspiegelt; * hoe goed het programma van eisen de gebruikerseisen en wensen weerspiegelt; * hoe goed de gebruikerseisen en wensen de reële situatie (daadwerkelijke noodzakelijkheden) weerspiegelt. Slechte kwaliteit van het PvE wordt o.a. veroorzaakt door onjuistheden, verkeerde aannames, inconsistenties, onduidelijk taalgebruik en ontoereikendheid. Bij applicatieontwikkeling is een goede inrichting van projectmanagement en de te hanteren systeem ontwikkelmethode (Systeem Development Life cycle) essentieel. Het applicatieontwikkeling proces wordt verdeeld in activiteiten die niet noodzakelijk als sequentiële stappen doorlopen worden (zie ook §1.5 ‘Ontwikkelmethoden’). De onderkende activiteiten zijn: * analyseren; * specificeren; * ontwerpen; * ontwikkelen; * valideren(testen); * gebruik en beheer. Opmerking: Bij agile worden in ieder geval ontwikkelen en een deel van het valideren als één activiteit uitgevoerd. Een deel van het ontwerpen kan daar ook bij horen. Ook wordt het andere deel van valideren en gebruiken wel gelijktijdig gedaan. Hiervoor zijn verschillende modellen bekend. Afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen' geeft een schematische weergave van een ontwikkelproces in de vorm van het V-Model. De activiteiten zullen hieronder worden toegelicht. Ze verschaffen mogelijkheden om de geïdentificeerde operationele objecten uit BIO, ISO27001/2 en overige standaarden te rubriceren. [[Afbeelding:Thema Applicatieontwikkeling - De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen.png|thumb|350px|De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen|alt=”De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen”]] Hiernaast spelen ook essentiële randvoorwaardelijke- en beheersingselementen een rol bij de ontwikkel- en onderhoudsactiviteiten. De operationele-, randvoorwaardelijke- en beheersingselementen voor het thema Applicatieontwikkeling kunnen ingedeeld worden in drie domeinen: Beleid, Uitvoering en Control. Deze indeling wordt eveneens afgebeeld in afbeelding 'De ontwikkelactiviteiten van software en indeling van essentiële elementen in drie domeinen'. ''Perspectieven'' De linkerkant van het model beschrijft het ontwikkelperspectief en de rechterkant het gebruikersperspectief. Als de applicatieontwikkeling plaatsvindt bij een externe organisatie of een aparte businessunit zijn deze perspectieven gescheiden. Ingeval van uitbesteding wordt, afhankelijk van de afspraken tussen de klant en de leverancier, de rechterkant aangeduid als het leveranciersperspectief en de linkerkant als het klantperspectief. Hierover dienen klant en leverancier heldere afspraken te maken. Afspraken dienen gericht te zijn op: * het uitwisselen van kennis, specifiek over de overdracht van proceskennis van de (gebruiks)organisatie naar de ontwikkelorganisatie; * het tijdens het ontwikkelproces niet verstoren van het primaire proces; * het toezien op de bescherming van intellectuele eigendommen en van gevoelige informatie. De verantwoordelijken binnen het ontwikkelproces moeten verantwoording kunnen afleggen over de kwaliteit van het geleverde product. Om een goede beheersing te waarborgen is het vanuit best practices noodzakelijk de verschillende lifecycle stadia te isoleren in een eigen omgeving zodat gegarandeerd kan worden dat het primaire proces niet wordt verstoord. Daarbij vindt een expliciete afsluiting van een fase plaats zodat een gecontroleerde overgang mogelijk wordt. Dit concept wordt een OTAP-straat genoemd. ''Analyseren'' In deze fase wordt de context van het businessproces, dat door de te ontwikkelen applicatie ondersteund moet worden, geanalyseerd. Hierbij worden de noodzakelijke requirements, waaronder de bedrijfsfuncties, gegevens en veranderwensen vanuit de bedrijfsprocessen geïdentificeerd en vastgelegd. De focus ligt op de ‘waarom’ aspecten. Onder andere de volgende activiteiten worden uitgevoerd: * onderzoeken en brainstormen over de te ontwikkelen software, om duidelijkheid te krijgen wat het doel is van de software; * analyseren van eisen en wensen van gebruikers, beheerders en partners ten aanzien van functionele en niet-functionele aspecten. ''Specificeren'' Deze activiteit richt zich op de ‘wat’ aspecten. De business-, gebruikers-, stakeholders- (non)functionele- en data requirements worden gespecificeerd. Ook worden de noodzakelijke business rules en de noodzakelijke beperkingen in de vorm van constraints vastgelegd in een functioneel ontwerp. ''Ontwerpen'' Bij deze activiteit vindt de tijdens in de eerdere fase gedetailleerde en vastgestelde uitwerking van informatie en modellen plaats. Deze fase richt zich op de relaties en afhankelijkheden tussen de te bouwen componenten. Hierbij worden de bedrijfs- en procesvereisten gemodelleerd in een ontwerp (architectuur) voor het te bouwen informatie(deel)systeem. Aandacht dient besteed te worden aan de kwaliteitseisen gerelateerd aan gebruikers, functionaliteit en beveiliging. ''Ontwikkelen'' In deze fase worden de softwarecomponenten geconstrueerd (gecodeerd). De relaties en afhankelijkheden van de te automatiseren processen en modules worden vastgelegd in een softwarearchitectuur. Uiteindelijk zullen de programma’s geschreven worden op basis van deze (applicatie/software) architectuur. Hierbij moet ook rekening worden gehouden met enkele ontwikkeleisen, zoals: * reproduceerbaarheid van code; * effectief testbaarheid; * toepassing van externe programma bibliotheek; * toepassing tools en gebruik van licenties; * toepassing van gestandaardiseerde vocabulaire (ISO25010); * inzicht in relaties en afhankelijkheden tussen softwareobjecten; * softwarefeatures (eisen: interfaces, koppelingen, API’s); * richten op aantoonbaar veilig programmeren (Secure Software Design). ''Valideren'' In deze fase worden de ontwikkelde modules/programma’s getest en uiteindelijk geaccepteerd. Gecontroleerd wordt of de software volgens de ontwerprichtlijnen is gebouwd. In deze fase kunnen ook fouten boven water komen die al in eerdere stadia gemaakt zijn. In deze fase wordt aandacht besteed aan bepaalde eisen, zoals: * de applicatie biedt slechts die functionaliteit die in de specificaties/ontwerp zijn opgenomen. (m.a.w.: geen functionaliteit buiten specificaties/ontwerp); * conformiteit aan de gespecificeerde functionaliteit (gebruikers)/ontwerp (Security by Design), AVG). ''Gebruiken'' Als de software voltooid en getest is zal het in gebruik genomen moeten worden volgens een standaardprocedure van de ‘OTAP-straat’. ''Onderhoud/Beheer'' Tenslotte dient de software periodiek op basis van nieuwe functionele eisen en of voorkomende fouten te worden onderhouden en (weer) in beheer te worden genomen. ===Ontwikkelmethoden=== Er zijn verschillende modellen voor het ontwikkelen van applicaties, zoals: lineair, iteratief en Agile. * 'Lineaire methode' Het meest bekend voorbeeld is de watervalmethode (zie §1.4). In deze lineaire ontwikkelmethode wordt het eindproduct (softwareproduct) in een aantal fases opgeleverd. In elke fase wordt een concreet gedefinieerd deelproduct vervaardigd. Requirements moeten duidelijk zijn en vooraf zijn vastgelegd. Kennisoverdracht en monitoring vinden plaats op basis van specifieke documenten en formats. * 'Iteratieve ontwikkelmethode' Iteratieve ontwikkeling is een methode waarbij het eindproduct niet in één keer wordt opgeleverd, maar gefaseerd tot stand komt, waarbij fases herhaaldelijk worden doorlopen. Na elke zogenaamde iteratie wordt het proces geëvalueerd en zo nodig aangepast. In de praktijk worden iteratieve- en lineaire ontwikkelmethoden met elkaar gecombineerd. * 'Agile methode' Een agile methode wordt gekenmerkt door korte, in tijd gelimiteerde sprints. De inhoud van een sprint wordt bij de start ervan bepaald. De gevolgde werkwijze kan (dagelijks) worden aangepast al naar gelang de wensen van de zelfsturende teams. Er wordt gebruik gemaakt van een geordende lijst van product features die gedurende het gehele project wordt bijgewerkt op basis van de behoefte van de klant. Daarmee worden in feite de productspecificaties opgebouwd. De nadruk ligt op samenwerking en mondelinge kennisoverdracht. Prioriteit wordt gegeven aan het opleveren van sprints en producten met de op dat moment hoogste toegevoegde waarde. De sprints worden gedaan door zelfsturende teams met multidisciplinaire teamleden en zonder vastgelegde taken, rollen en verantwoordelijkheden. Afbeelding 'Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model' geeft een schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model. [[Afbeelding:Thema Applicatieontwikkeling - Schematische weergave van een iteratie agile ontwikkelproces in de vorm van het V-Model.png|thumb|350px|Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model|alt=”Schematische weergave van een iteratie/agile ontwikkelproces in de vorm van het V-Model”]] ===Applicatie objecten uit baseline in relatie tot ontwikkelmethode=== Bij de selectie van applicatie objecten uit ISO en overige baselines is in eerste instantie uitgegaan van de lineaire-/iteratieve aanpak van applicatieontwikkeling. Mogelijk volgen later een versie die gerelateerd is aan applicatieonderhoud en een versie die gerelateerd is aan de Agile methode. Dit zullen aparte documenten zijn die overeenkomsten zullen hebben met dit document, maar vanuit de optiek van onderhoud of Agile aanpak kunnen objecten aangepast en/of toegevoegd worden.  +
BIO Thema Applicatieontwikkeling - SIG ISO25010 model voor technische maatregelen applicatiebeveiliging +tekst wordt later toegevoegd  +
BIO Thema Communicatievoorzieningen - Definitie van objecten +<table class="wikitable"> <tr> <th>  Objectnaam  </th> <th>  Betekenis van de objecten in relatie tot  het thema  </th> <th>  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  De waarborging  van de bescherming van informatie in netwerken, door inzet van  beheerprocedures voor informatietransport en het hanteren van procedures voor  bewaking van netwerken.  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  informatietransport  </td> <td>  Contracten en  afspraken, waarin het dienstverleningsniveau, beveiligingsmechanismen en  beheersingseisen voor netwerkdiensten zijn vastgelegd, zowel voor intern  geleverde diensten als voor uitbestede diensten.  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  </td> <td>  Beleid en  afspraken, specifiek gericht op de toepassing van cryptografie binnen  netwerken en communicatieservices.  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  netwerkbeheer  </td> <td>  Opzet van de  administratieve organisatie van netwerk en communicatiebeheer.  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  netwerkbeveiliging  </td> <td>  Algemene,  operationele beveiligingsrichtlijnen voor ontwerp, implementatie en beheer  van communicatievoorzieningen.  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedures  </td> <td>  Is gerelateerd  aan twee aspecten: Aanmelden en Procedure.  ·  Aanmelden (inloggen) behelst het leggen van een  verbinding- via authenticatie middelen.  ·  De procedure is de samenhangende beschrijving van  welke activiteiten moeten plaatsvinden.  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  Het beheer van  beveiligingsprocedures en -mechanismen.  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  geheimhoudingsovereenkomst  </td> <td>  De eisen die aan  dienstverleners en partners gesteld worden in de operatie voor het waarborgen  van de vertrouwelijkheid van gegevens en de uitvoering van bedrijfsprocessen.  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  netwerkdiensten  </td> <td>  De eisen die aan  dienstverleners gesteld worden t.a.v. te nemen maatregelen voor  beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van de  beheerprocessen.  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering en  filtering  </td> <td>  Gaat over twee  aspecten: Scheiding en Gecontroleerde doorgang.  ·  Scheiding is het positioneren van netwerken in  afzonderlijke fysieke ruimten of het segmenteren van netwerken in  afzonderlijk te beveiligen (logische) domeinen.  ·  Gecontroleerde doorgang is het reguleren van de  toegang van personen tot netwerkvoorzieningen en/of het en filteren van  informatiestromen op basis van beleidsregels met filters en algoritmen.  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  Beveiliging van  elektronisch berichtenverkeer, zoals b.v. e-mail, web-verkeer, chat-sessies  en ‘streaming’ audio en video. Beveiliging omvat maatregelen voor bescherming  van het berichtenverkeer, zoals geautoriseerde toegang, correcte adressering  en integer datatransport, beschikbaarheid en (wettelijke) bepalingen voor  elektronische handtekening en onweerlegbaarheid.  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen via  openbare netwerken  </td> <td>  Gebruik van  openbare netwerken voor uitwisseling van informatie van uitvoeringsdiensten  vereist bescherming tegen inbraak, waarmee frauduleuze praktijken, geschillen  over contracten en onbevoegde openbaarmaking of onbevoegde wijziging kunnen  worden voorkomen.  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateway / Firewall  </td> <td>  Beveiligingsmechanisme  voor zonering en gecontroleerde toegang.  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual Private Networks (VPN)  </td> <td>  Beveiligingsmechanisme  voor het inrichten van een vertrouwd toegangspad tussen 2 of meerdere  netwerk-nodes.  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische services  </td> <td>  Versleuteling van  netwerkverkeer, met behulp van hardware of software voorzieningen, die kunnen  voorkomen op alle zeven lagen van het OSI-model. Cryptografische services voor communicatie  met partners en burgers maken gebruik van Public Key Infrastuctuur middelen,  zoals de aan certificaten gebonden private en publieke sleutels.  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  Toegang tot  draadloze netwerken bedoeld voor mobiele communicatie.  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerk connecties  </td> <td>  Verbindingen  netwerk-eindpunten (nodes) worden beheerd en zijn vastgelegd in een  netwerktopologie.  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerk authenticatie  </td> <td>  Voorziening, die  controleert of een netwerkdevice geautoriseerd is om op het netwerk te kunnen  worden aangesloten.  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerkbeheeractiviteit  </td> <td>  Activiteiten die  uitsluitend door netwerkbeheerders kunnen worden uitgevoerd op  communicatievoorzieningen.  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen netwerkevents  </td> <td>  Het uniek en  onveranderlijk vastleggen van (beveiligings) gebeurtenissen in een netwerk  (in een audit-logfile).  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerksecurityarchitectuur  </td> <td>  Beschrijving en  beelden van de structuur en onderlinge samenhang van de verschillende  beveiligingsfuncties in een netwerk.  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving richtlijnen netwerkbeheer en evaluatie.  </td> <td>  Evaluatie op de  naleving van netwerkbeveiligingsbeleid.  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerksecurity Compliance checking  </td> <td>  Periodieke  toetsing en managementrapportage over naleving van het beveiligingsbeleid  voor netwerkdiensten.  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren robuustheid  netwerkbeveiliging  </td> <td>  Toetsing van de  robuustheid (resilience) van beveiligingsfuncties in  communicatievoorzieningen.  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren gebeurtenissen (monitoring)  </td> <td>  Het beoordelen  van de (doorlopend) verzamelde security gerelateerde gebeurtenissen in  netwerken.  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  De opzet van een  toereikende organisatiestructuur voor het beheren van- en rapporteren over  netwerken en communicatievoorzieningen.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Omschrijving van de geïdentificeerde ISO-27002 objecten</caption></table>  +
BIO Thema Communicatievoorzieningen - Inleiding +. Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit de ISO27001-annex A, de BIO (Baseline Informatiebeveiliging Overheid), op de implementatiegids ISO27033 en tevens op Best Practices als: SoGP, NIST, BSI en COBIT. ==Opzet van het thema== Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO 1.0 overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI, de NIST en SoGP. NORA patronen zijn gebruikt voor figuren en begeleidende teksten. De implementatiegids ISO-27033-deel 1 t/m 6 biedt, gerelateerd aan de ISO-27002, overzicht en een technische duiding van “Network security”. Dit thema volgt de standaard opzet voor BIO-thema’s: # context en globale structuur van het thema; # scope en begrenzing; # identificatie van beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen, inclusief de referenties; # globale relaties van de geïdentificeerde beveiligingsobjecten (toepassing); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten. ==Context van Communicatiebeveiliging== De basis voor de uitwerking van het thema Communicatievoorzieningen is ISO-27002 ( als baseline voor de overheid 1:1 omgezet in de BIO). In hoofdstuk 13 daarvan worden verschillende type communicatievoorzieningen genoemd, zoals geïllustreerd in afbeelding 'Communicatiebeveiliging volgens BIO'. * openbare diensten - het gebruik van openbare diensten, zoals: Instant messaging en sociale media (vehikel); * elektronische berichten - informatie opgenomen in elektronische berichten (inhoud); * informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (inhoud); * netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel); * netwerk(infrastructuur) - dit betreft de fysieke en logische verbindingen (vehikel). Beveiligingsobjecten met bronverwijzing Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Afbeelding 'Soorten netwerkkoppelingen' schetst de belangrijkste soorten van netwerkkoppelingen: *tussen organisaties onderling; * tussen organisaties en publieke netwerken; * binnen organisaties. [[Afbeelding:Thema Communicatievoorzieningen - Soorten netwerkkoppelingen.png|thumb|350px|Soorten netwerkkoppelingen|alt=”Soorten netwerkkoppelingen”]] Doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie. De beveiligingsmaatregelen binnen ISO hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering en compartimentering, tezamen ”zonering” genoemd. Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: “Vertrouwd toegangspad” en beveiliging in “Koppelvlakken”. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment. ==Scope en Begrenzing== Dit thema omvat de set communicatiebeveiligingsobjecten en maatregelen voor netwerkvoorzieningen, zoals weergegeven in afbeelding 'Communicatiebeveiliging volgens BIO'. De uitwerking van dit thema beperkt zich tot deze type communicatie voorzieningen. NB: Hiervoor zijn de ISO implementatiegidsen: ISO27033-2- 27033-6 en NORA patronen in adviserende zin beschikbaar. De ISO27033 draagt de titel: Information technology- Networksecurity, bedoeld als implementatiegids voor de ISO27002. De ISO-27033 bestaat uit 6 delen. Deel 1 bevat algemene ‘controls’ voor communicatiebeveiliging, deel 2 beschrijft ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP netwerktoegang. Er zijn essentiële objecten uit andere baselines gebruikt, die gerelateerd zijn dit type communicatie voorzieningen. Bepaalde type communicatiefaciliteiten, zoals: VOIP, intranet en extranet zijn in dit thema niet uitgewerkt. Er wordt niet diepgaand op: * bepaalde type verbindingen, zoals VPN en Gateway verbindingen; * communicatie voorzieningen, zoals: instant messaging en email. Tabel 'Relevante beveiligingsobjecten met referentie naar standaarden' geeft een overzicht van relevante beveiligingsobjecten voor communicatievoorzieningen, afkomstig uit de ISO27002 standaard, die de BIO exact volgt qua hoofdstukindeling en controlteksten. Voor die onderwerpen waarvoor de BIO geen control heeft geformuleerd, is gerefereerd naar andere standaarden, zoals de ISO-implementatiestandaard voor Netwerkbeveiliging: ISO27033 deel 1-6, waarin tevens de relaties zijn gelegd met de ISO27002. <table class="wikitable"> <tr> <th>  Nr.  </th> <th>  Relevante  beveiligingsobjecten  </th> <th>  Referentie  naar standaarden  </th> <th>  IFGS  </th> </tr> <tr> <td>  B.01  </td> <td>  Beleid en  procedures informatietransport  </td> <td>  BIO:13.2.2.1,  ISO27033-1: 6.2  </td> <td>  I  </td> </tr> <tr> <td>  B.02  </td> <td>  Overeenkomsten  over informatietransport  </td> <td>  BIO:13.2.2,  ISO27033-1  BSI  IT-Grundschutz: S.6  </td> <td>  F  </td> </tr> <tr> <td>  B.03  </td> <td>  Cryptografiebeleid  voor communicatievoorzieningen  </td> <td>  BIO: 10.3.1,  18.1.5.1  ISO27033-1: 8.8,  </td> <td>  G  </td> </tr> <tr> <td>  B.04  </td> <td>  Organisatiestructuur  van netwerkbeheer  </td> <td>  BSI S4.2,  ISO27033-1: 8.2  ITIL: Netwerkbeheer  </td> <td>  S  </td> </tr> <tr> <td>  U.01  </td> <td>  Richtlijnen  voor netwerkbeveiliging  </td> <td>  BIO:8.2.2.3,  ISO27033-1  ISO27033-2: 6,7,8  </td> <td>  I  </td> </tr> <tr> <td>  U.02  </td> <td>  Beveiligde  inlogprocedure  </td> <td>  BIO:9.4.2,  ISO27033-1: 8.4  </td> <td>  I  </td> </tr> <tr> <td>  U.03  </td> <td>  Netwerk  beveiligingsbeheer  </td> <td>  BIO:13.1.1,  ISO27033-1: 8.2, 8.2.2  </td> <td>  F  </td> </tr> <tr> <td>  U.04  </td> <td>  Vertrouwelijkheid-  en geheimhoudingsovereenkomst  </td> <td>  BIO:13.2.4,  SoGP: NW1.1  </td> <td>  F  </td> </tr> <tr> <td>  U.05  </td> <td>  Beveiliging  van netwerkdiensten  </td> <td>  BIO:13.1.2,  ISO27033-1: 10.6  </td> <td>  F  </td> </tr> <tr> <td>  U.06  </td> <td>  Zonering  en filtering  </td> <td>  BIO:13.1.3,  ISO27033-1: 10.7  ISO27033-2:  7.2.3  NORA  Patronen: Zoneringsmodel  </td> <td>  F  </td> </tr> <tr> <td>  U.07  </td> <td>  Elektronische  berichten  </td> <td>  BIO:13.2.3,  ISO27033-1: 10.3, 10.8  </td> <td>  F  </td> </tr> <tr> <td>  U.08  </td> <td>  Toepassingen  via openbare netwerken  </td> <td>  BIO:  14.2.1  </td> <td>  F  </td> </tr> <tr> <td>  U.09  </td> <td>  Gateways  en firewalls  </td> <td>  ISO27033-4,  SoGP: NC1.5  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.10  </td> <td>  Virtual  Private Networks (VPN)  </td> <td>  ISO27033-5  NORA Patronen: Vertrouwd toegang-pad  </td> <td>  G  </td> </tr> <tr> <td>  U.11  </td> <td>  Cryptografische  services  </td> <td>  BIO:10, ISO27033-1:  8.2.2.5  SoGP: NC1.1  NORA  Patronen: Encryptie  </td> <td>  G  </td> </tr> <tr> <td>  U.12  </td> <td>  Wireless Access  </td> <td>  ISO27033-6  NORA Patronen: Draadloos netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.13  </td> <td>  Netwerkconnecties  </td> <td>  BIO:8.2.2.5,  ISO27033-1  NORA Patronen: Koppelvlak  </td> <td>  G  </td> </tr> <tr> <td>  U.14  </td> <td>  Netwerkauthenticatie  </td> <td>  NORA  Patronen: Beschouwingsmodel Netwerk  </td> <td>  G  </td> </tr> <tr> <td>  U.15  </td> <td>  Netwerk beheeractiviteiten  </td> <td>  ISO27033-1: 8.4, ISO27033-2: 8.4  </td> <td>  G  </td> </tr> <tr> <td>  U.16  </td> <td>  Vastleggen  en monitoren van netwerkgebeurtenissen (events)  </td> <td>  ISO27033-1:  8.5  ISO27033-2: 8.5  </td> <td>  G  </td> </tr> <tr> <td>  U.17  </td> <td>  Netwerk beveiligingsarchitectuur  </td> <td>  BIO:9.2, ISO27033-1  ISO27033-2: 8.6  SoGP: Network design  NORA Patronen: Diverse patronen  </td> <td>  S  </td> </tr> <tr> <td>  C.01  </td> <td>  Naleving  richtlijnen netwerkbeheer en evaluaties  </td> <td>  BIO:18.2.3,  SoGP: SM1.1.1, SM3.5.2  </td> <td>  I  </td> </tr> <tr> <td>  C.02  </td> <td>  Netwerkbeveiliging  compliancy checking  </td> <td>  BIO:8.2.2.4,  ISO27033-1  ISO27033-2: 7.2.6, 8.7  </td> <td>  F  </td> </tr> <tr> <td>  C.03  </td> <td>  Evalueren  van robuustheid netwerkbeveiliging  </td> <td>  BIO:18.1.2,  18.2.1,  ISO27033-1: 8.2.5, SoGP: NW1.3  </td> <td>  F  </td> </tr> <tr> <td>  C.04  </td> <td>  Evalueren  van netwerkgebeurtenissen (monitoring)  </td> <td>  BIO:8.2.4,  ISO27033-1  </td> <td>  G  </td> </tr> <tr> <td>  C.05  </td> <td>  Beheersorganisatie  netwerkbeveiliging  </td> <td>  ISO27003: ISMS, SoGP: NW1.4  </td> <td>  S  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Relevante beveiligingsobjecten</caption></table> ==Relaties tussen de geïdentificeerd beveiligingsobjecten== Afbeelding 'Toepassing van beveiligingsobjecten' geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een Informatievoorzieningslandschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van Netwerk Connecties (NC) die de verschillende netwerken en informatievoorzieningen met elkaar verbinden. Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s. Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie. Cryptografische services verzorgen zonering voor gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt. In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via Wireless Access en beveiligd met o.a. netwerkauthenticatie. Een netwerkbeheerorganisatie draagt op basis van richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het ‘up-to-date’ houden van beveiligingsmaatregelen. Via vastleggen van events, evaluatie netwerkmonitoring en evalueren van netwerkbeveiliging wordt de actuele werking van de maatregelen getoetst en waar nodig versterkt. [[Afbeelding:Thema Communicatievoorzieningen - Toepassing van beveiligingsobjecten.png|thumb|350px|Toepassing van beveiligingsobjecten|alt=”Toepassing van beveiligingsobjecten”]] Meer over de technologie van de beveiligingsobjecten is te vinden op de NORA Wiki; thema Beveiliging, (www.noraonline.nl) bij de “Patronen voor informatiebeveiliging”. ==Presentatie van de objecten in de BUC/IFGS matrix== Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven, in zowel de lagen B-U-C, als in de IFGS-kolommen. De grijs ingekleurde zijn ‘generiek’. Voor de wit- ingekleurde objecten heeft de BIO geen control gedefinieerd, deze objecten zijn voor het grootste deel afkomstig uit de ISO27033 implementatiegidsen deel 1 t/m 6. [[Afbeelding:Thema Communicatievoorzieningen - Overzicht beveiligingsobjecten.png|thumb|350px|Overzicht beveiligingsobjecten|alt=”Overzicht beveiligingsobjecten”]]  +
BIO Thema Communicatievoorzieningen - Verbindingsdocument +==Inleiding en doel== Dit document biedt de gebruiker een korte samenvatting van het thema Communicatievoorzieningen en legt daarbij een verbinding tussen de BIO-norm met de uitvoeringspraktijk. Doel van dit document en elk BIO-thema, is organisaties handvatten te bieden en wegwijs te maken in welke beveiligingsnormen van toepassing zijn per aandachtsgebied en welke praktijkhulp daarbij beschikbaar is. ==Context== De basis voor de uitwerking van het thema Communicatievoorzieningen is de BIO en daarmee in het bijzonder Hoofdstuk 13 van ISO-27002; hierin worden verschillende type communicatievoorzieningen genoemd, zoals geschetst in onderstaande figuur: * Openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media (IV); * Elektronische berichten – Informatie opgenomen in elektronische berichten (Data); * Informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email, telefoon, fax video (Data); * Netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor de beveiligen netwerkdiensten, zoals authenticatie (IV); * Netwerk (infrastructuur) - het betreft fysieke en logische verbindingen (IV). Iedere organisatie met klantprocessen, gebruikt communicatievoorzieningen en heeft daarvoor één of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via de onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen. In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. De beveiligingsmaatregelen binnen ISO hebben betrekking op de boven vermelde communicatievoorzieningen. Een van de belangrijkste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering. Hierbij zijn beveiligingsobjecten van toepassing, zoals: zonering, filtering, vertrouwd toegangspad en koppelvlakken. Hiervoor bieden de NORA patronen een praktische invulling. In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium) bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. ==Beveiligingsobjecten met cross reference naar handreikingen== Tabel "Beveiligingsobjecten met bronverwijzing" geeft een overzicht van de relevante, voor communicatiebeveiliging toe te passen beveiligingsobjecten, die afgeleid zijn van BIO-controls met een verwijzing naar praktische handreikingen. Daar waar er sprake is van een 1:1 relatie met BIO-controls, is dat hieronder aangegeven. De handreikingen zijn de door ISO gepubliceerde implementatiegidsen zoals ISO27033, de NIST, de Standard of Good Practice van ISF en NORA patronen. Hieronder is gekozen voor een alfabetische bronverwijzing per document, waarbij na de letter, b.v: a) het hoofdstuk/paragraaf wordt vermeld. De Bronverwijzing geeft het Documentnaam, Versie, Eigenaar en Toelichting. Voor dreigingen, aanbevelingen, planning en ontwerp van organisatie en techniek, kan de BSI: IT-Grundschutz catalogues worden geraadpleegd, die vrij toegankelijk is op internet; zie bronverwijzing. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0lax">  Beveiligingsobject  </th> <th class="tg-0lax">  BIO Control  </th> <th class="tg-0lax">  Handreikingen  Zie Bronverwijzing voor  documentnaam en details.  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  Beleid en procedures  informatietransport  </td> <td class="tg-0lax">  13.2.1  </td> <td class="tg-0lax">  a)-6.2  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  Overeenkomsten  informatietransport  </td> <td class="tg-0lax">  13.2.2  </td> <td class="tg-0lax">  g)-S.6  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  Cryptografiebeleid  </td> <td class="tg-0lax">  10.1.1; 18.1.5.1  </td> <td class="tg-0lax">  a)- 8.8  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  Organisatiestructuur  Netwerkbeheer  </td> <td class="tg-0lax">  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2, l)  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  Richtlijnen  netwerkbeveiliging  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a) -8.2.2.3, b)-6,7,8  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  Beveiligde  inlogprocedure  </td> <td class="tg-0lax">  9.4.2  </td> <td class="tg-0lax">  a)-8.4  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  Netwerk  beveiligingsbeheer   </td> <td class="tg-0lax">  13.1.1  </td> <td class="tg-0lax">  a)-8.2  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  Vertrouwelijkheid/geheimhoudingsovereenkomst  </td> <td class="tg-0lax">  13.2.4  </td> <td class="tg-0lax">  j) Roles and Responsibilities NW1.1  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  Beveiliging  netwerkdiensten  </td> <td class="tg-0lax">  13.1.2  </td> <td class="tg-0lax">  a)-10.6  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  Zonering en  filtering  </td> <td class="tg-0lax">  13.1.3  </td> <td class="tg-0lax">  a)-10.7, b)-7.2.3,  i)-Zoneringsmodel  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  Elektronische  berichten  </td> <td class="tg-0lax">  13.2.3  </td> <td class="tg-0lax">  a)-10.3, 10.8  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  Toepassingen via  openbare netwerken  </td> <td class="tg-0lax">  14.2.1  </td> <td class="tg-0lax">     </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  Gateway / Firewall  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  d) geheel, i)-NORA  Koppelvlak, j)-NC1.5  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  Virtual Private  Networks (VPN)  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  e) geheel, i)-NORA Vertrouwd  toegangspad  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  Cryptografische service  </td> <td class="tg-0lax">  Hoofdstuk 10  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Encryptie patronen, j) NC1.1  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  Wireless Access  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  f) geheel, i)-NORA  Draadloos netwerk  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <tr> <td class="tg-0lax">  Netwerk connecties  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-8.2.2.5, i)-NORA Koppelvlak  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk  authenticatie  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  i)-NORA  Beschouwingsmodel Netwerk  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerkbeheeractiviteit  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  a), b)-8.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Vastleggen  netwerkevents  </td> <td class="tg-0lax">  12.4  </td> <td class="tg-0lax">  a), b)-8.5  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security  architectuur  </td> <td class="tg-0lax">  Niet in BIO  </td> <td class="tg-0lax">  a)-9.2, b)-8.6, NORA div. patronen, j) Network design  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Naleving richtlijnen  netwerkbeheer en evaluaties  </td> <td class="tg-0lax">  18.2.2  </td> <td class="tg-0lax">  j) Corporate Governance: SM1.1.1, SM3.5.2  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Netwerk security compliancy checking  </td> <td class="tg-0lax">  18.2.3  </td> <td class="tg-0lax">  a)-8.2.2.4, b)-7.2.6, 8.7  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren robuustheid  netwerkbeveiliging  </td> <td class="tg-0lax">  18.2.1,  18.1.2,  ISO 27001 ISMS  </td> <td class="tg-0lax">  a)-8.2.5, j) Network resilience: NW1.3  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Evalueren  gebeurtenissen (monitoring)  </td> <td class="tg-0lax">  16.1  </td> <td class="tg-0lax">  a)-8.2.4  </td> <td class="tg-0lax"></td> </tr> <tr> <td class="tg-0lax">  Beheersorganisatie Netwerkbeveiliging  </td> <td class="tg-0lax">  13.1  </td> <td class="tg-0lax">  n), j) Network  Documentation: NW 1.4  </td> <td class="tg-0lax"></td> <caption align="bottom">Communicatievoorzieningen, ISOR:Communicatievoorzieningen - Beveiligingsobjecten met bronverwijzing</caption></table> [[Categorie:ISOR]]‏ [[Categorie:BIO Thema Communicatievoorzieningen]] ==Overzicht objecten gepositioneerd in BUC/IFGS matrix== Hieronder zijn alle onderwerpen voor communicatiebeveiliging samengevat. Vervolgens worden deze onderwerpen (objecten) verbonden aan BIO-‘controls’, of aan controls uit andere relevante standaarden. De figuur 'Voor Communicatievoorzieningen relevante beveiligingsobjecten' is het resultaat van een volledigheidsanalyse, uitgevoerd met de SIVA methode (zie: SIVA toepassingssystematiek). De wit ingekleurde objecten zijn relevant voor het thema, maar ontbreken als control in de ISO 27002. Ze zijn afkomstig uit andere standaarden en ISO implementatiegidsen (zie: cross-reference). [[Afbeelding:Thema Communicatievoorzieningen - Voor Communicatievoorzieningen relevante beveiligingsobjecten.png|thumb|350px|Voor Communicatievoorzieningen relevante beveiligingsobjecten|alt=”Voor Communicatievoorzieningen relevante beveiligingsobjecten”]] ==Bronverwijzing== Onderstaande lijst van brondocumenten verwijst waar mogelijk naar publiek- toegankelijke documenten. * Om ‘dode’ verwijzingen te voorkomen is minimaal gebruik gemaakt van links. * Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. * Op NEN-ISO/IEC documenten rusten licentierechten; voor de overheid zijn deze afgekocht (log in via NEN-connect). * Voor raadplegen van ISF documenten, zoals o.a. de SoGP moet de gebruikersorganisatie lid zijn van het ISF. * IT-Grundschutz, NORA en NIST zijn vrij toegankelijk op internet. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-s268">  Nr.  </th> <th class="tg-0lax">  Documentnaam  </th> <th class="tg-0lax">  Versie  </th> <th class="tg-0lax">  Eigenaar  </th> <th class="tg-0lax">  Toelichting of link  </th> </tr> <tr> <td class="tg-0lax">  a)  </td> <td class="tg-0lax">  ISO  27033 Deel 1  </td> <td class="tg-0lax">  Aug  2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Overview and Concepts. Het  algemene deel van Network Security  </td> </tr> <tr> <td class="tg-0lax">  b)  </td> <td class="tg-0lax">  ISO  27033 Deel 2  </td> <td class="tg-0lax">  Aug 2012  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Guidelines  for the design and implementation of network security  </td> </tr> <tr> <td class="tg-0lax">  c)  </td> <td class="tg-0lax">  ISO  27033 Deel 3  </td> <td class="tg-0lax">  Dec 2010  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Reference  networking scenario’s Threats design techniques and control issues  </td> </tr> <tr> <td class="tg-0lax">  d)  </td> <td class="tg-0lax">  ISO  27033 Deel 4  </td> <td class="tg-0lax">  Feb  2014  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications between  networks using security gateways  </td> </tr> <tr> <td class="tg-0lax">  e)  </td> <td class="tg-0lax">  ISO  27033 Deel 5  </td> <td class="tg-0lax">  Aug  2013  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing communications across  networks using Virtual Private Networks  </td> </tr> <tr> <td class="tg-0lax">  f)  </td> <td class="tg-0lax">  ISO  27033 Deel 6  </td> <td class="tg-0lax">  Juni  2016  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Securing wireless IP network  access  </td> </tr> <tr> <td class="tg-0lax">  g)  </td> <td class="tg-0lax">  BSI: IT-Grundschutz  </td> <td class="tg-0lax">  2013  </td> <td class="tg-0lax">  DE  gov.  </td> <td class="tg-0lax">  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html  </td> </tr> <tr> <td class="tg-0lax">  h)  </td> <td class="tg-0lax">  NIST  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  US gov.  </td> <td class="tg-0lax">  Institute of Standards and  Technology: www.nist.gov  </td> </tr> <tr> <td class="tg-0lax">  i)  </td> <td class="tg-0lax">  NORA,  thema beveiliging  </td> <td class="tg-0lax">  Wiki  </td> <td class="tg-0lax">  NL gov.  </td> <td class="tg-0lax">  Patronen:  https://www.noraonline.nl/wiki/Beveiliging  </td> </tr> <tr> <td class="tg-0lax">  j)  </td> <td class="tg-0lax">  ISF  Standard of Good Practice (SoGP)  </td> <td class="tg-0lax">  2007  </td> <td class="tg-0lax">  ISF  </td> <td class="tg-0lax">  Information Security Forum: www.securityforum.org  </td> </tr> <tr> <td class="tg-0lax">  k)  </td> <td class="tg-0lax">  NCSC  (diverse documenten)  </td> <td class="tg-0lax">  nvt  </td> <td class="tg-0lax">  NCSC  </td> <td class="tg-0lax">  Nationaal Cyber Security  Centrum (NCSC): www.ncsc.nl  </td> </tr> <tr> <td class="tg-0lax">  l)  </td> <td class="tg-0lax">  ITIL  </td> <td class="tg-0lax">  Versie 3  </td> <td class="tg-0lax">  ITIL foundation  </td> <td class="tg-0lax">  Information Technology  Infrastructure Library  </td> </tr> <tr> <td class="tg-0lax">  m)  </td> <td class="tg-0lax">  ISO 18033-1 General  </td> <td class="tg-0lax">  Aug 2015  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-kader  voor: Encryption Algorithms  </td> </tr> <tr> <td class="tg-0lax">  n)  </td> <td class="tg-0lax">  ISO 27003 ISMS  </td> <td class="tg-0lax">  Apr 2017  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  ISO-Information Security  Management Systems Guidance  </td> </tr> <tr> <td class="tg-0lax">  o)  </td> <td class="tg-0lax">  ISO 18033-2  </td> <td class="tg-0lax">  Juni  2006  </td> <td class="tg-0lax">  NEN-ISO/IEC  </td> <td class="tg-0lax">  Encryption  algorithms: Asymmetric ciphers  </td> </tr> <tr> <td class="tg-0lax">  p)  </td> <td class="tg-0lax">  SIVA toepassingssystematiek  </td> <td class="tg-0lax">  Versie  0.4  </td> <td class="tg-0lax">  Werkgroep Normatiek  </td> <td class="tg-0lax">  Korte beschrijving van het SIVA raamwerk  met een uitgewerkte casus van de wijze waarop SIVA toegepast kan worden.  </td> </tr> <caption align="bottom">Communicatievoorzieningen, Bronverwijzing</caption></table> [[Categorie:ISOR]] [[Categorie:BIO Thema Communicatievoorzieningen]]  +
BIO Thema Huisvesting Informatievoorziening +Dit document bevat een referentiekader voor Huisvesting Informatievoorziening (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BOI v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST en Cobit. <br /> Afbeelding 'Positie van het themadocument "Huisvesting Informatievoorziening' geeft de positie weer van het themadocument "BIO thema Huisvesting Informatievoorziening". [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|300px|Positie van het themadocument "Huisvesting Informatievoorziening|alt=”Positie van het themadocument "Huisvesting Informatievoorziening”]] <br /> Afbeelding 'Overzicht van thema’s en de positie van Huisvesting IT Infrastructuur' geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur.png|thumb|Left|500px|Overzicht van thema's en de positie van Huisvesting IT Infrastructuur|Alt="Overzicht van thema's en de positie van Huisvesting IT Infrastructuur"]]  +
BIO Thema Huisvesting Informatievoorziening - Inleiding +==Inleiding== Dit document bevat een referentiekader voor Huisvesting Informatievoorzieningen (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BIO v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST, en Cobit. Onderstaande afbeelding geeft de relatie weer tussen het thema Huisvesting Informatievoorziening, verder genoemd Huisvesting Informatievoorziening, en de overige thema’s. [[Afbeelding:Thema Huisvesting - Overzicht van thema’s en positie van Huisvesting IT Infrastructuur.png|thumb|left|500px|Overzicht van thema’s en positie van Huisvesting IT Infrastructuur|alt=”Overzicht van thema’s en positie van Huisvesting IT Infrastructuur”]] ==Huisvesting Informatievoorziening== In dit document wordt een set beveiligingsmaatregelen met betrekking tot het thema Huisvesting Informatievoorziening uitgewerkt. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (bronobjecten) uit de ISO 27001 (2013) en BIR 2017/BIO 2017 v0.5. Eventueel ontbrekende bronobjecten, die uit analyses voortvloeien, worden betrokken uit andere baselines, zoals Standard of Good Practice, NIST en uit Handboeken van organisaties die in de praktijk gehanteerd worden. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in onderstaande afbeelding weergegeven. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie documenten en thema.png|thumb|left|200px|Relatie documenten en thema|alt=”Relatie documenten en thema”]] De bronobjecten uit de ISO-norm en uit de BIR en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de bronobjecten en de bijbehorende maatregelen georganiseerd zijn in drie domeinen: Beleid, Uitvoering en Control. Onderstaande afbeelding schetst de structuur waarin een relatie wordt gelegd tussen het objecten binnen het Beleiddomein, het Uitvoering domein en het Controldomein voor Huisvesting Informatievoorziening. [[Afbeelding:Thema Huisvesting Informatievoorziening - Relatie tussen de Beleid, Uitvoering en Control objecten.png|thumb|left|500px|Relatie tussen de Beleid, Uitvoering en Control objecten|alt=”Relatie tussen de Beleid, Uitvoering en Control objecten”]] ==Scope en begrenzing van Huisvesting Informatievoorziening== De eisen die gesteld moeten worden aan Huisvesting Informatievoorziening, worden in het bijzonder bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT diensten en de daarvoor benodigde Huisvesting. Het management van de doelorganisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type Huisvesting Informatievoorziening past bij de organisatie. De volgende drie opties zijn mogelijk: *''Fysieke Huisvesting'': bij deze de traditionele Huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie en welke onder beheer is van de doelorganisatie. *''Modulaire Huisvesting'': bij deze vorm van de Huisvesting is het rekencentrum ondergebracht in mobiele bouwblokken, welke flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers). *''Virtuele Huisvesting'': bij deze vorm van Huisvesting is het rekencentrum ondergebracht in de cloud; dit kan zowel een private als public cloud zijn. Bij deze vorm van Huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie; men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals IAAS, PAAS of SAAS. Afhankelijk van de gemaakte inrichtingskeuze voor de Huisvesting Informatievoorziening, zijn normen voor Huisvesting in meer of mindere mate van toepassing. In dit document beschrijft optie 1:‘Fysieke Huisvesting’ en daarbij de generieke objecten m.b.t. Huisvesting Informatievoorziening, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit Huisvestingsbeleid (Beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het Uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (Controldomein). [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|left|500px|Overzicht Fysieke Huisvesting Informatievoorziening|alt=”Overzicht Fysieke Huisvesting Informatievoorziening”]] ==Aanpak uitwerking thema Huisvesting Informatievoorziening== Het Toelichtingdocument schetst de standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.  +
BIO Thema Huisvesting Informatievoorziening - Objecten voor Huisvesting Informatievoorziening +Huisvesting Informatievoorziening objecten uit de baseline ===Schematische weergave generieke Huisvesting Informatievoorziening objecten=== Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting Informatievoorziening worden in afbeelding 'Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten' weergegeven. De elementen worden toegelicht op basis van de driedeling: Beleid, Uitvoering en Control. [[Afbeelding:Thema Huisvesting - Schematische weergave van de fysieke Huisvesting-IV objecten.png|thumb|left|500px|Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten|alt=”Schematische weergave van de fysieke Huisvesting Informatievoorziening objecten”]] ''Beleiddomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening randvoorwaarden; dit zijn objecten die als randvoorwaarden gelden voor de gehele Huisvesting Informatievoorziening, zoals beleid, wet en regelgeving, contracten en organisatiestructuur. In [[BIO Thema Huisvesting Informatievoorziening Beleidsdomein]] worden de relevante objecten behandeld. ''Uitvoeringsdomein'' * Binnen het Uitvoeringsdomein bevat Huisvesting Informatievoorziening een scala aan componenten die grofweg zijn onder te verdelen in: terrein, gebouwen, faciliteiten en werkruimten en voorzieningen. ** Terrein betreft de locaties van de Huisvesting Informatievoorziening. * Gebouwen, faciliteiten en werkruimten zijn de aan Huisvesting Informatievoorziening georiënteerde objecten, die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Onder het fysieke bestaan vallen ook de terreinen en de zonering (in ruimten) van gebouwen. ** Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van Huisvesting Informatievoorziening. Dit is gericht op: bedrijfsmiddelen en nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. Met andere woorden: dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren Huisvesting Informatievoorziening diensten. In [[BIO Thema Huisvesting Informatievoorziening Uitvoering]] worden de relevante objecten behandeld. ''Controldomein'' * Binnen het Uitvoeringsdomein bevat de Huisvesting Informatievoorziening beoordelingsrichtlijnen en procedures; de beoordelingsrichtlijnen zijn vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en van de uitvoeringscomponenten. In [[BIO Thema Huisvesting Informatievoorziening Control]] worden de relevante objecten behandeld. ===Identificatie Huisvesting Informatievoorziening objecten=== nog nader in te bepalen ===De organisatie van Huisvesting Informatievoorziening objecten=== De geïdentificeerde Huisvesting Informatievoorziening objecten zijn op basis van de lagenstructuur: Beleid, Uitvoering en Controldomein georganiseerd; hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenis die aan de lagen wordt toegekend, zijn: * ''Beleid'': Binnen dit domein bevinden zich conditionele elementen over de Huisvesting Informatievoorziening. Hier zijn eisen opgenomen ten aanzien van ‘geboden’ en 'verboden’, zoals Huisvesting Informatievoorziening beleid, de te hanteren wet en regelgeving en andere vormen van reguleringen en beperkingen. * ''Uitvoering'': Binnen dit domein bevinden zich: ** elementen die gerelateerd zijn aan operationele activiteiten ten aanzien van Huisvesting Informatievoorziening; ** elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn; ** elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen. * ''Control'': Binnen dit domein bevinden zich elementen die zorg dragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot Huisvesting Informatievoorziening en of deze wel naar wens verlopen. ==Huisvesting Informatievoorziening objecten geprojecteerd op BUC en gesorteerd naar IFGS== Tabel 'Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC' bevat de relevante items, welke in samenhang de bescherming van Huisvesting Informatievoorziening bewerkstelligen. Deze items worden in de BIO themadocumenten objecten genoemd. De meeste objecten zijn in de vorm van een beheersmaatregel al van kracht vanuit de ISO-27001. Objecten zijn generiek gemaakt, omdat ze in veel gevallen ook relevant zijn voor andere thema’s en daarom hergebruikt kunnen worden. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de BIO. Objecten die aanvullend aan de ISO norm voor de beveiliging nodig geacht worden van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald; deze relateren zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. NB: Deze zijn vanuit de beschikbare expertise van de schrijfgroep BIO nodig geacht, waarbij SIVA als modelleringstool wordt gebruikt. <table class="wikitable"> <tr> <th>Beleid domein</th> <th>Nr</th> <th>Generieke objecten</th> <th>Referentie</th> <th>IFGS</th> </tr> <tr> <td>B 01</td> <td>Huisvesting Informatievoorziening beleid</td> <td>27002:5.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 02</td> <td>Wet en regelgeving</td> <td>27002:18.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>B 03</td> <td>Eigenaarschap</td> <td>27002:8.1.2</td> <td>I</td> <td></td> </tr> <tr> <td>B.04</td> <td>Certificering</td> <td>Uit SIVA analyse, ITIL</td> <td>I</td> <td></td> </tr> <tr> <td>B.05</td> <td>Contract management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B.06</td> <td>Servicelevel management</td> <td>Uit SIVA analyse, ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>B 07</td> <td>Interne en externe bedreigingen</td> <td>27002:11.1.4</td> <td>F</td> <td></td> </tr> <tr> <td>B 08</td> <td>Training en awareness</td> <td>27002:7.2.2</td> <td>G</td> <td></td> </tr> <tr> <td>B.09</td> <td>Organisatiestructuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Uitvoering domein</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>U.01</td> <td>Richtlijnen gebieden en ruimten</td> <td>27002:11.1.5</td> <td>I</td> <td></td> </tr> <tr> <td>U.02</td> <td>Bedrijfsmiddelen inventaris</td> <td>27002:8.1.1</td> <td>I</td> <td></td> </tr> <tr> <td>U.03</td> <td>Fysieke zonering</td> <td>27002:11.1.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.04</td> <td>Beveiligingsfaciliteiten ruimten</td> <td>27002:11.1.3</td> <td>F</td> <td></td> </tr> <tr> <td>U.05</td> <td>Nutsvoorzieningen</td> <td>27002:11.2.2</td> <td>F</td> <td></td> </tr> <tr> <td>U.06</td> <td>Apparatuur positionering</td> <td>27002:11.2.1</td> <td>F</td> <td></td> </tr> <tr> <td>U.07</td> <td>Apparatuur onderhoud</td> <td>27002:11.2.4</td> <td>F</td> <td></td> </tr> <tr> <td>U.08</td> <td>Apparatuur verwijdering</td> <td>127002:1.2.7</td> <td>F</td> <td></td> </tr> <tr> <td>U.09</td> <td>Bedrijfsmiddelen verwijdering</td> <td>27002:11.2.5</td> <td>F</td> <td></td> </tr> <tr> <td>U.10</td> <td>Laad- en los locatie</td> <td>27002:11.1.6</td> <td>G</td> <td></td> </tr> <tr> <td>U.11</td> <td>Bekabeling</td> <td>27002:11.2.3</td> <td>G</td> <td></td> </tr> <tr> <td>U.12</td> <td>Huisvesting Informatievoorziening Architectuur</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <tr> <td>Control domein(beheersing)</td> <td>Nr</td> <td>Objecten</td> <td>Referentie</td> <td>IFGS</td> </tr> <tr> <td>C.01</td> <td>Controlerichtlijnen Huisvesting-IV</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.02</td> <td>Onderhoudsplan</td> <td>Uit SIVA analyse</td> <td>I</td> <td></td> </tr> <tr> <td>C.03</td> <td>Continuïteit beheer(BCMS)</td> <td>Uit SIVA analyse ITIL</td> <td>F</td> <td></td> </tr> <tr> <td>C.04</td> <td>Huisvesting Informatievoorziening beheersorganisatie</td> <td>Uit SIVA analyse</td> <td>S</td> <td></td> </tr> <caption align="bottom">Overzicht van Huisvesting Informatievoorziening objecten ingedeeld naar BUC</caption></table> ==Omschrijvingen van generieke objecten== Tabel 'Omschrijvingen van generieke objecten uit ISO/BIR met aanvullende generieke objecten' bevat een nadere omschrijving voor de vastgestelde generieke objecten uit ISO/BIO en aanvullende generieke objecten. <table class="wikitable"><caption align="bottom">Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten</caption><tr style="background-color:#d9d9d9"><td> Nr. </td> <td> ISO </td> <td> Generiek object </td> <td> Omschrijving generiek object gericht op Huisvesting-IV </td></tr><tr><td> 1. </td> <td> 5.1.1. </td> <td> Huisvestingsbeleid </td> <td> Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten. </td></tr><tr><td> 2. </td> <td> 7.2.2. </td> <td> Training en Awareness </td> <td> Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid. </td></tr><tr><td> 3. </td> <td> 7.1.2. </td> <td> Eigenaarschap </td> <td> Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker. </td></tr><tr><td> 4. </td> <td> 18.1.1. </td> <td> Wet- en Regelgeving </td> <td> Door de overheid afgevaardigde Wet- en regelgeving. </td></tr><tr><td> 5. </td> <td> X </td> <td> Huisvestingsorganisatie </td> <td> Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources. </td></tr><tr><td> 6. </td> <td> X </td> <td> Huisvestingsarchitectuur </td> <td> De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV). </td></tr><tr><td> 7. </td> <td> X </td> <td> Contractmanagement </td> <td> Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd. </td></tr><tr><td> 8. </td> <td> X </td> <td> Servicelevelmanagement </td> <td> Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt. </td></tr><tr><td> 9. </td> <td> X </td> <td> Certificering </td> <td> Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie. </td></tr><tr><td> 10. </td> <td> 8.1.1. </td> <td> Bedrijfsmiddelen inventaris </td> <td> Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn. </td></tr><tr><td> 11. </td> <td> 11.1.1. </td> <td> Fysieke zonering </td> <td> Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten. </td></tr><tr><td> 12. </td> <td> 11.1.3. </td> <td> Beveiligingsfaciliteiten </td> <td> Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden. </td></tr><tr><td> 13. </td> <td> 11.1.4. </td> <td> Interne en Externe bedreigingen </td> <td> Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten. </td></tr><tr><td> 14. </td> <td> 11.1.5. </td> <td> Richtlijnen gebieden en ruimten </td> <td> Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien. </td></tr><tr><td> 15. </td> <td> 11.1.6. </td> <td> Laad- en los locatie </td> <td> Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen. </td></tr><tr><td> 16. </td> <td> 11.2.1. </td> <td> Apparatuur positionering </td> <td> Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie. </td></tr><tr><td> 17. </td> <td> 11.2.2. </td> <td> Nutsvoorzieningen </td> <td> Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden. </td></tr><tr><td> 18. </td> <td> 11.2.3. </td> <td> Bekabeling </td> <td> Middel voor energietransport van een bron naar een bestemming. </td></tr><tr><td> 19. </td> <td> 11.2.4. </td> <td> Apparatuur onderhoud </td> <td> Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden. </td></tr><tr><td> 20. </td> <td> 11.2.7. </td> <td> Apparatuur verwijdering </td> <td> Het verwijderen van apparatuur volgens een geregistreerde procedure. </td></tr><tr><td> 21. </td> <td> 11.2.5. </td> <td> Bedrijfsmiddel verwijdering </td> <td> Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens). </td></tr><tr><td> 22. </td> <td> X </td> <td> Controlerichtlijn Huisvesting-IV </td> <td> Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde. </td></tr><tr><td> 23. </td> <td> X </td> <td> Onderhoudsplan </td> <td> Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden. </td></tr><tr><td> 24. </td> <td> X </td> <td> Huisvestings- beheersorganisatie </td> <td> De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd. </td></tr><tr><td> 25. </td> <td> X </td> <td> Continuïteitsmanagement </td> <td> Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen. </td></tr><tr><td> </td> <td style="background-color:#f2f2f2" colspan="2">X = Aanvullend vanuit analyse </td> </tr></table> ===Objecten binnen BUC domeinen en gerelateerd aan basiselementen=== ''Beleiddomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Beleiddomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Beleid domein, gerelateerd aan basiselementen|alt=”Objecten binnen Beleiddomein, gerelateerd aan basiselementen”]] ''Uitvoeringsdomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Uitvoering domein, gerelateerd aan basiselementen|alt=”Objecten binnen Uitvoeringsdomein, gerelateerd aan basiselementen”]] ''Controldomein'' [[Afbeelding:Thema Huisvesting Informatievoorziening- Objecten binnen Controldomein, gerelateerd aan basiselementen.png|thumb|left|500px|Objecten binnen Control domein, gerelateerd aan basiselementen|alt=”Objecten binnen Controldomein, gerelateerd aan basiselementen”]]  +
BIO Thema Huisvesting Informatievoorziening - Verbindingsdocument +==Context beveiliging Huisvesting-IV== [[Afbeelding:Thema Huisvesting - Verbindingsniveau voor huisvesting.png|thumb|left|250px|Verbindingsniveau voor Huisvesting Informatievoorziening|alt=”Verbindingsniveau voor Huisvesting Informatievoorziening”]] [[Afbeelding:Thema Huisvesting - Context Huisvesting-IV.png|thumb|left|600px|Context Huisvesting Informatievoorziening|alt=”Context Huisvesting Informatievoorziening”]] Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV). Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging. Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas. Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening. Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. [[Afbeelding:Thema Huisvesting - Essentiële objecten in het uitvoeringsdomein.png|thumb|left|700px|Essentiële objecten in het uitvoering domein|alt=”Essentiële objecten in het uitvoering domein”]] Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM). Huisvesting-IV omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur.<br />[[Afbeelding:Thema Huisvesting - Objecten in het uitvoeringsdomein.png|thumb|500px|Objecten in het uitvoering domein|alt=”Objecten in het uitvoering domein”]] Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie. *'''Terrein''' – de omheinde, beschermde locaties van de Huisvesting IV *'''Gebouwen''' – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting-IV. Hieronder valt ook de fysieke zonering van gebouwen in ruimten. *'''Voorzieningen''' – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). *'''Faciliteiten''' - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc. Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten. ==Generieke objecten== Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen. <table class="wikitable"><tr style="background-color:#d9d9d9"><th> Nr </th> <th> Bron: ISO/BIO of alternatief </th> <th> Generieke objecten </th></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffcc00">Huisvestingsbeleid </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffcc00">Training en Awareness </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffcc00">Eigenaarschap </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffcc00">Wet en regelgeving </td></tr><tr><td>5. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Organisatie </td></tr><tr><td>6. </td> <td>Uit SIVA analyse </td> <td style="background-color:#ffcc00">Architectuur </td></tr><tr><td>7. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Contractmanagement </td></tr><tr><td>8. </td> <td>idem -> ITIL </td> <td style="background-color:#ffcc00">Servicelevelmanagement </td></tr><tr><td>9. </td> <td>idem -> NIST </td> <td style="background-color:#ffcc00">Certificering </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen inventaris </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">Fysieke zonering </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">Fysieke toegangsbeveiliging </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">Beveiligingsfaciliteit </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">Interne en Externe bedreigingen </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">Richtlijnen gebieden en ruimten </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">Laad- en loslocatie </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">Apparatuur positionering </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">Nutsvoorzieningen </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">Bekabeling </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">Apparatuur onderhoud </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">Bedrijfsmiddelen verwijdering </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">Apparatuur verwijdering </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">Registratieprocedure </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">Beoordeling Fysieke toegangsrechten </td></tr><tr><td>25. </td> <td>Uit SIVA analyse </td> <td style="background-color:#99ccff">Controle richtlijn Huisvesting-IV </td></tr><tr><td>26. </td> <td>idem </td> <td style="background-color:#99ccff">Onderhoudsplan </td></tr><tr><td>27. </td> <td>idem </td> <td style="background-color:#99ccff">Huisvestingsbeheerorganisatie </td></tr><tr><td>28. </td> <td>idem -> ITIL </td> <td style="background-color:#99ccff">Continuïteitsmanagement </td></tr> <caption align="bottom">Tabel 6: Vastgestelde generieke objecten</caption></table> <table style="border: 1px solid #888"><caption>Legenda</caption> <tr> <td style="background-color:#ffd966; width:3em;"> </td> <td>[[Beveiligingsaspect Beleid|Beleid]] </td></tr><tr> <td style="background-color:#ff9999"> </td> <td>[[Beveiligingsaspect Uitvoering|Uitvoering]] </td></tr><tr> <td style="background-color:#99ccff"> </td> <td>[[Beveiligingsaspect Control|Control]] </td></tr></table> Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001. De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice. ==Positionering van objecten gerelateerd aan SIVA basiselementen== [[Afbeelding:Thema Huisvesting - Objecten in hun B-U-C domein.png|thumb|500px|Objecten in hun B-U-C domein|alt=”Objecten in hun B-U-C domein”]] Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data. ==Cross Reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. <table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen</caption> <tr><td>Nr. </td> <td>Bron:ISO… </td> <td>  </td> <td>Onderwerp </td> <td>Referentie naar praktijktoepassing(Verwijzing naar brondocumenten) </td></tr><tr><td>1. </td> <td>5.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Huisvestingsbeleid </td> <td>a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e) </td></tr><tr><td>2. </td> <td>7.2.2. </td> <td style="background-color:#ffd966">B </td> <td>Training en Awareness </td> <td>a):H4, h), j), i </td></tr><tr><td>3. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Eigenaarschap </td> <td>a):H2 (voor rijk), j), i) </td></tr><tr><td>4. </td> <td>18.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Wet en regelgeving </td> <td>i) </td></tr><tr><td>5. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Organisatie </td> <td>a):H4 </td></tr><tr><td>6. </td> <td>SIVA </td> <td style="background-color:#ffd966">B/U </td> <td>Architectuur </td> <td>i), Richtlijnen - Rijks vastgoedbedrijf (RVB) </td></tr><tr><td>7. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Contractmanagement </td> <td>a):H8, f) </td></tr><tr><td>8. </td> <td>ITIL </td> <td style="background-color:#ffd966">B </td> <td>Servicelevelmanagement </td> <td>f) </td></tr><tr><td>9. </td> <td>NIST </td> <td style="background-color:#ffd966">B </td> <td>Certificering </td> <td>g) </td></tr><tr><td>10. </td> <td>8.1.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen inventaris </td> <td>i) </td></tr><tr><td>11. </td> <td>11.1.1. </td> <td style="background-color:#ff9999">U/GB </td> <td>Fysieke zonering </td> <td>a): H6, c), e), i) </td></tr><tr><td>12. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Fysieke toegangsbeveiliging </td> <td>a): H6, b), c), i) </td></tr><tr><td>13. </td> <td>11.1.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Beveiligingsfaciliteit </td> <td>NKBR 5.4 voor sleutelplan </td></tr><tr><td>14. </td> <td>11.1.4. </td> <td style="background-color:#ff9999">U </td> <td>Interne en Externe bedreigingen </td> <td>i), k) </td></tr><tr><td>15. </td> <td>11.1.5. </td> <td style="background-color:#ff9999">U/GB </td> <td>Richtlijnen gebieden en ruimten </td> <td>a):geheel document, j), i), o) </td></tr><tr><td>16. </td> <td>11.1.6. </td> <td style="background-color:#ff9999">U/GB </td> <td>Laad- en loslocatie </td> <td>a):H6 </td></tr><tr><td>17. </td> <td>11.2.1. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur positionering </td> <td>a):H7 voor beveiligingsvoorzieningen, i), o) </td></tr><tr><td>18. </td> <td>11.2.2. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Nutsvoorzieningen </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>19. </td> <td>11.2.3. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bekabeling </td> <td>i), o), Richtlijnen - RVB </td></tr><tr><td>20. </td> <td>11.2.4. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur onderhoud </td> <td>i), Richtlijnen - RVB </td></tr><tr><td>21. </td> <td>11.2.5. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Bedrijfsmiddelen verwijdering </td> <td>i) </td></tr><tr><td>22. </td> <td>11.2.7. </td> <td style="background-color:#ff9999">U/VZ </td> <td>Apparatuur verwijdering </td> <td>i) </td></tr><tr><td>23. </td> <td>9.2.1. </td> <td style="background-color:#99ccff">C </td> <td>Registratieprocedure </td> <td>i) </td></tr><tr><td>24. </td> <td>9.2.4. </td> <td style="background-color:#99ccff">C </td> <td>Beo. Fysieke toegangsrechten </td> <td>i) </td></tr><tr><td>25. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Controle richtlijn Huisvesting-IV </td> <td>? Richtlijnen - RVB </td></tr><tr><td>26. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Onderhoudsplan </td> <td>? Richtlijnen - RVB </td></tr><tr><td>27. </td> <td>SIVA </td> <td style="background-color:#99ccff">C </td> <td>Huisvestingsbeheerorganisatie </td> <td>a):H4 </td></tr><tr><td>28. </td> <td>ITIL </td> <td style="background-color:#99ccff">C </td> <td>Continuïteitsmanagement </td> <td>i), l, m), o), ITIL documentatie </td></tr></table> Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. ==Brondocumenten== Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden. <table class="wikitable"><caption align="bottom">Bronverwijzing</caption><tr ><td> Nr. </td> <td> Documentnaam </td> <td> Versie + datum </td> <td> Eigenaar </td> <td> Toelichting </td></tr><tr ><td> a) </td> <td> Normenkader Beveiliging Rijkskantoren (NKBR) </td> <td> 2.02-10-2015 </td> <td> ICBRBzK </td> <td> Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V) </td></tr><tr ><td> b) </td> <td> Kader Rijkstoegangs-beleid </td> <td> 1.0 van 11/5/10 </td> <td> ICBR </td> <td> Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’ </td></tr><tr ><td> c) </td> <td> Zoneringsmodel rijkskantoren </td> <td> 5-jul-11 </td> <td> BzK </td> <td> Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB) </td></tr><tr ><td> d) </td> <td> Richtlijnen Rijks Vastgoedbedrijf (RVB) </td> <td> volgt </td> <td> RVB </td> <td> Nader te bepalen set van eisen in samenspraak met RVB </td></tr><tr ><td> e) </td> <td> NIST PE Physical and Environ-mental Protection (PE) </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering </td></tr><tr ><td> f) </td> <td> NIST MA System Mainenance Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor beheersingsprocedures </td></tr><tr ><td> g) </td> <td> NIST CA Security Assessment and Authorization Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor Certificering van organisaties </td></tr><tr ><td> h) </td> <td> NIST AT Awaress and Training Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers </td></tr><tr ><td> i) </td> <td> NIST CM Configuration Management Policy and Procedures </td> <td> jun-10 </td> <td> NIST </td> <td> Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures </td></tr><tr ><td> j) </td> <td> Standard of Good Practice (SoGP) </td> <td> Periodiek </td> <td> ISF </td> <td> Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen </td></tr><tr ><td> k) </td> <td> KWAS </td> <td> Periodiek </td> <td> NCSC </td> <td> Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit </td></tr><tr ><td> l) </td> <td> NEN-ISO-22323 </td> <td> 2012 </td> <td> BzK </td> <td> Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief </td></tr><tr ><td> m) </td> <td> NORA patronen voor bedrijfs-continuïteit / BCM </td> <td> 2014 </td> <td> BzK </td> <td>https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt </td></tr><tr ><td> n) </td> <td> BIR 1.0 </td> <td> 2011 </td> <td> BzK </td> <td> BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013 </td></tr><tr ><td> o) </td> <td> Telecommunication Infrastructure Standard for Data Centers (TIA-942) </td> <td> Periodiek </td> <td> ieee802.org /ANSI </td> <td> Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet </td></tr></table> Op NEN-ISO documenten rusten licentierechten.  +
BIO Thema Serverplatform - Beveiligingsobjecten van het serverplatform +==Beveiligingsobjecten serverplatform== Objecten worden geïdentificeerd aan de hand van onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de invalshoek van algemene beveiligingseisen: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC)), die vervolgens zijn ingedeeld in de drie domeinen: Beleid, Uitvoering en Control. De vragen die hierbij een rol hebben gespeeld spelen zijn: * welke rand voorwaardelijke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de inrichting van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? * welke elementen spelen een rol bij de beheersing van het serverplatform vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? De belangrijkste functieblokken van een server kunnen binnen de SIVA-lagenstructuur worden beschreven, die functieblokken bevatten elk beveiligingsmaatregelen, die we vanuit de normatiek duiden als beveiligingsobjecten. ===Vaststellen van beveiligingsobjecten voor serverplatform=== Onderstaande tabel geeft een overzicht van alle relevante beveiligingsobjecten voor het serverplatform, afkomstig uit BIO die gebaseerd is ISO 27002 standaard; de BIO volgt dezelfde hoofdstuk indeling en controlteksten. Uit de contextuele analyse blijkt dat er enkele onderwerpen bestaan die niet in de ISO/BIO voorkomen. Voor deze onderwerpen, waarvoor de BIO geen control heeft geformuleerd, worden controls uit andere baselines geadopteerd, zoals: Standard of Good Practice (SoGP), NIST en NCSC beveiliging web richtlijnen. <table class="wikitable"> <tr> <th > Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > B.01 </td> <td > Beleid voor beveiligde inrichting en onderhoud </td> <td > BIO/14.2.1 </td> <td > I </td> </tr> <tr> <td > B.02 </td> <td > Principes voor inrichten van beveiligde servers </td> <td > BIO/14.2.5 </td> <td > I </td> </tr> <tr> <td > B.03 </td> <td > Serverplatform architectuur </td> <td > SoGP/SD2.2 (afgeleid uit) </td> <td > S </td> </tr> <tr> <td > U.01 </td> <td > Bedieningsprocedure </td> <td > BIO/12.1.1 </td> <td > I </td> </tr> <tr> <td > U.02 </td> <td > Standaarden voor configuratie van servers </td> <td > SoGP/SY1.2 </td> <td > I </td> </tr> <tr> <td > U.03 </td> <td > Malwareprotectie </td> <td > BIO/12.2.1 </td> <td > F </td> </tr> <tr> <td > U.04 </td> <td > Beheer van serverkwetsbaarheden </td> <td > BIO/12.6.1 </td> <td > F </td> </tr> <tr> <td > U.05 </td> <td > Patch-management </td> <td > BIO/12.6.1, NCSC/WA </td> <td > F </td> </tr> <tr> <td > U.06 </td> <td > Beheer op afstand </td> <td > BIO/6.2.2 (Afgeleid) </td> <td > F </td> </tr> <tr> <td > U.07 </td> <td > Onderhoud van serverapparatuur </td> <td > BIO/11.2.4 </td> <td > F </td> </tr> <tr> <td > U.08 </td> <td > Veilig verwijderen of hergebruiken van serverapparatuur </td> <td > BIO/11.2.7 </td> <td > F </td> </tr> <tr> <td > U.09 </td> <td > Hardenen van servers </td> <td > SoGP/SYS1.25 en SYS12.8 </td> <td > G </td> </tr> <tr> <td > U.10 </td> <td > Serverconfiguratie </td> <td > SoGP/SY1.2 </td> <td > G </td> </tr> <tr> <td > U.11 </td> <td > Virtueel serverplatform </td> <td > SoGP/SY1.3 </td> <td > G </td> </tr> <tr> <td > U.12 </td> <td > Beperking van software- installatie </td> <td > BIO/12.6.2 </td> <td > G </td> </tr> <tr> <td > U.13 </td> <td > Kloksynchronisatie </td> <td > BIO/12.4.4 </td> <td > G </td> </tr> <tr> <td > U.14 </td> <td > Ontwerpdocumentatie </td> <td > SoGP/12.4.4 </td> <td > S </td> </tr> <tr> <td > C.01 </td> <td > Evaluatie van richtlijnen voor servers en serverplatforms </td> <td > BIO/10.10 2 (versie 2007) </td> <td > I </td> </tr> <tr> <td > C.02 </td> <td > Beoordeling technische serveromgeving </td> <td > BIO/18.2.3 </td> <td > F </td> </tr> <tr> <td > C.03 </td> <td > Logbestanden beheerders </td> <td > BIO/12.4.3 </td> <td > G </td> </tr> <tr> <td > C.04 </td> <td > Registratie van gebeurtenissen </td> <td > BIO/12.4.1 </td> <td > G </td> </tr> <tr> <td > C.05 </td> <td > Monitoren van servers en serverplatforms </td> <td > NIST/AU-6 </td> <td > G </td> </tr> <tr> <td > C.06 </td> <td > Beheerorganisatie servers en serverplatforms </td> <td > CIP Domeingroep BIO </td> <td > S </td> </tr> <caption align="bottom">Serverplatform, Overzicht van de relevante beveiligingsobjecten voor het serverplatform</caption></table> ===Globale relaties tussen de geïdentificeerde beveiligingsobjecten=== Het thema Serverplatform omvat het geheel van beleid, richtlijnen, procedures, processen, mensen (actoren), middelen en registraties ten behoeve van het betrouwbaar functioneren van serverplatforms die het fundament vormen voor informatiesystemen. De essentiële objecten voor serverplatforms worden ingedeeld naar de domeinen: Beleid, Uitvoering en Control. Deze objecten worden in Bijlage 1 verder toegelicht. De objecten per domein worden in hoofdstukken 3, 4 en 5 verder uitgewerkt. Moderne, gevirtualiseerde systeemomgevingen zien er mogelijk qua systeemtopologie geheel anders uit, maar de basiselementen die het fundament vormen voor informatiesystemen zijn niet anders. [[Afbeelding:Thema Serverplatform - Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron- Nora).png|thumb|350px|Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)|alt=”Gelaagdheid serverplatform met enkele beveiligingsobjecten (Bron: Nora)”]] ''Beleiddomein'' Geeft de randvoorwaarden, conditionele aspecten en contraints waar de inrichting van het serverplatform aan moeten voldoen. ''Uitvoeringsdomein'' De keuze van objecten uit ISO voor het thema serverplatform vloeit voort uit enkele uitgangspunten die gerelateerd zijn aan het serverplatform: * initiële installatie de initiële installatie wordt uitgevoerd op basis van richtlijnen en procedures, bijvoorbeeld: Bedieningsprocedure (ISO terminologie), * beveiligings- en beheerfuncties de beveiligingsfunctie is gerelateerd aan protectie mechanismen die de beveiliging van de server moeten bevorderen, zoals malwareprotectie en hardenen van features. De beheerfuncties is gerelateerd aan enkele processen, zoals: Onderhoud van servers en Beheer van kwetsbaarheden, * feature configuratie Servers hebben verschillende features. Deze features moeten adequaat zijn geconfigureerd om beveiligingsniveau te kunnen garanderen. * structuur en ontwerp De configuraties van servers en de koppelingen en relatie tussen verschillende servers moet in een ontwerp document zijn vastgelegd. ''Controldomein '' Er zijn beoordelingsrichtlijnen vastgesteld voor het evalueren van de vastgestelde randvoorwaarden en de uitvoeringscomponenten.  +
BIO Thema Serverplatform - Definiëring en omschrijving van beveiligingsobjecten +. <table class="wikitable"> <tr> <th class="tg-s268">Nr.</th> <th >Relevante beveiligingsobjecten</th> <th >Omschrijving</th> </tr> <tr> <td >B.01</td> <td >Beleid voor(beveiligd) onderhouden van serverplatforms</td> <td >Het resultaat van de besluitvorming ten aanzien van het onderhoud van serverplatforms die het verantwoordelijk management van een organisatie heeft vastgelegd.</td> </tr> <tr> <td >B.02</td> <td >Principes serverplatform beveiliging</td> <td >Principiële uitgangspunten voor het inrichten van serverplatforms, zoals: “Security by design” en “Defense in depth".</td> </tr> <tr> <td >B.03</td> <td >Serverplatform Architectuur</td> <td >Raamwerk en/of blauwdrukken waarmee wordt aangegeven op welke wijze serverplatforms zijn ingericht, samenhangen, beveiligd en beheerst.</td> </tr> <tr> <td >U.01</td> <td >Bedieningsprocedure</td> <td >Een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms.</td> </tr> <tr> <td >U.02</td> <td >Standaarden voor configuratie servers</td> <td >Documenten waarin afspraken zijn vastgelegd ten aanzien van configuraties en parametrisering serverinstellingen.</td> </tr> <tr> <td >U.03</td> <td >Malwareprotectie</td> <td >Beschermingsmechanismen om servers te beschermen tegen schadelijke code en om schadelijke code te detecteren en te neutraliseren.</td> </tr> <tr> <td >U.04</td> <td >Beheer van server kwetsbaarheden</td> <td >Proactieve beveiliging van servers door het verwerven van inzicht in de kwetsbaarheden en zwakheden in de software die op de server zijn geïnstalleerd.</td> </tr> <tr> <td >U.05</td> <td >Patch-management</td> <td >Het proces dat zorgt voor het verwerven, testen en installeren van patches (wijzigingen ter opheffing van bekende beveiligingsproblemen in de code) op (verschillende softwarecomponenten van) een computersysteem.</td> </tr> <tr> <td >U.06</td> <td >Beheer op afstand</td> <td >Het beheer van server door beheerders vanuit een niet-vertrouwde omgeving.</td> </tr> <tr> <td >U.07</td> <td >Onderhoud apparatuur</td> <td >Het actualiseren van configuraties van een serverplatform binnen een tijdsinterval.</td> </tr> <tr> <td >U.08</td> <td >Veilig verwijderen of hergebruiken van apparatuur</td> <td >Het opschonen van apparatuur en het veilig stellen van data op de apparatuur.</td> </tr> <tr> <td >U.09</td> <td >Hardenen van servers</td> <td >Het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd.</td> </tr> <tr> <td >U.10</td> <td >Serverconfiguratie</td> <td >Het conform de vereisten instellen van de verschillende features van serverplatforms.</td> </tr> <tr> <td >U.11</td> <td >Virtueel serverplatform</td> <td >Het beschikbaar stellen van één of meer gescheiden ‘logische’ omgevingen op één fysieke server.</td> </tr> <tr> <td >U.12</td> <td >Beperking software installatie</td> <td >Het stellen van regels voor het installeren op servers of serverplatforms.</td> </tr> <tr> <td >U.13</td> <td >Kloksynchronisatie</td> <td >Het gelijkrichten van klokken op verschillende servers.</td> </tr> <tr> <td >U.14</td> <td >Ontwerpdocumentatie</td> <td >Een document waarin de relatie tussen servers en de instellingen van configuraties zijn vastgelegd.</td> </tr> <tr> <td >C.01</td> <td >Evaluatierichtlijnen serverplatforms</td> <td >Richtlijnen die evaluatie activiteiten van servers ondersteunen.</td> </tr> <tr> <td >C.02</td> <td >Beoordeling technische serveromgeving</td> <td >Het proces van beoordelen op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.</td> </tr> <tr> <td >C.03</td> <td >Logbestandenbeheerders</td> <td >Het vastleggen van activiteiten van beheerders.</td> </tr> <tr> <td >C.04</td> <td >Registratiegebeurtenissen</td> <td >Het proces van registreren van gebeurtenissen op een server vanuit beveiligingsoptiek.</td> </tr> <tr> <td >C.05</td> <td >Monitorenservers en besturingssystemen</td> <td >Het proces van bewaken, reviewen, analyseren van vastgelegde gebeurtenissen en het rapporteren hierover.</td> </tr> <tr> <td >C.06</td> <td >Beheerorganisatieservers en besturingssystemen</td> <td >De adequaat gepositioneerde organisatorische eenheid die verantwoordelijk is voor de beheersing van de serverplatforms.</td> </tr> <caption align="bottom">Serverplatform, Definiëring/omschrijving van beveiligingsobjecten</caption></table>  +
BIO Thema Serverplatform - Inleiding +==Inleiding== Dit document bevat een referentiekader voor het thema Serverplatform. Het is geënt op controls uit de BIO (Baseline Informatiebeveiliging Overheid) die gebaseerd is op ISO-27002. Er wordt ook gebruik gemaakt van andere Best Practices als: SoGP en NIST. Dit kader dient evenals andere BIO-thema’s, als een toetsinstrument voor interne en externe leveranciers, om inzicht te geven over het beveiligings- en beheersingsniveau van haar ontwikkel- en onderhoudsorganisatie. Dit thema geeft tevens inzicht in de kwaliteitszorg die de leverancier dient toe te passen bij het opleveren van nieuwe infrastructuur. ===Opzet van het thema=== Het thema Serverplatform wordt achtereenvolgens uitgewerkt langs twee onderdelen: Structuur en Objecten. De structuur van dit themadocument bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van een lagenstructuur. Dit thema volgt de standaard opzet voor BIO-thema’s: # scope en begrenzing (§1.2); # context en globale structuur van het thema (§1.3); # beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen (§2.1); # presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten (§2.1); # globale relaties van de geïdentificeerd beveiligingsobjecten (§2.2). ===Scope en begrenzing=== In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: serverhardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden. Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandsserver, applicatieserver, webserver, mailserver of databaseserver. De objecten ten aanzien van serverplatform komen soms direct of indirect uit ISO 27002. De vertaling van objecten uit ISO 27002/BIO wordt geïllustreerd in tabel 'Voorbeeld vertaling BIO objecten naar Thema ‘Serverplatform’ objecten'. <table class="wikitable"><tr style="background-color:#d9d9d9"> <tr> <th class="tg-0pky">  ISO/BIO object  </th> <th class="tg-0lax">  Vertaling naar Thema:  Serverplatform  </th> </tr> <tr> <td class="tg-0lax">  Beleid voor beveiligd ontwikkelen  (14.2.1)  </td> <td class="tg-0lax">  Beleid voor (beveiligd) onderhouden  van serverplatforms  </td> </tr> <tr> <td class="tg-0lax">  Principes voor engineering van  beveiligde systemen  </td> <td class="tg-0lax">  Principes serverplatform beveiliging.  </td> </tr> <caption align="bottom">Serverplatform, Voorbeeld vertaling BIO-objecten naar Serverplatform-objecten</caption></table> ===Context van serverplatform=== Servers zijn computers, die via werkstations (clients), één of meerdere diensten en aan eindgebruikers of aan computersystemen beschikbaar stellen. Een server kan ook gerelateerd zijn aan zijn software die diensten mogelijk maakt, verzoeken accepteert en deze verwerkt. Voorbeelden van servers zijn: file-servers, database-servers, mail-servers, web-servers en FTP-servers Aan een server hangt één of meerdere clients. Figuur 1 geeft een globale context van enkele type servers en hoe ze in relatie staan met beleids- en beheersingsaspecten. [[Afbeelding:Thema Serverplatform - Context thema Serverplatform.png|thumb|350px|Context thema Serverplatform|alt=”Context thema Serverplatform”]] Een externe gebruiker logt bijvoorbeeld aan op een webserver vanuit internet. Dit type server geeft de relevante gebruikersgegevens door aan een portaltoegang-server, die op zijn beurt applicatieve diensten vanuit backofficeservers beschikbaar stelt. De onderste gebruiker in de figuur is een medewerker van een vertrouwde partij en zoekt via een semivertrouwd kanaal informatie op een webserver van de partnerorganisatie. De interne gebruiker logt aan op z’n werkstation via het lokale netwerk. In veel gevallen is er tevens sprake van ‘middleware’, oftewel applicatiecode die bepaalde functies vervult tussen de gebruikersapplicatie en het operating systeem.  +
BIO Thema Serverplatform - Verbindingsdocument +Tekst wordt later toegevoegd  +
BIO Thema Toegangsbeveiliging - Aandachtspunten ten aanzien objecten +<table class="wikitable"><caption align="bottom">Tabel 3: Aandachtspunten ten aanzien van objecten</caption> <tr><th> Objecten </th> <th> Baseline </th> <th> Opmerking/Thema </th></tr><tr><td>Gedeelde Autorisatie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Sessie </td> <td>NIST </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Labelen </td> <td>NIST, ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Speciale systeemhulpmiddelen </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Toegangsbeveiliging op (programma-) broncode </td> <td>ISO </td> <td>Opm: Niet geadresseerd in TB </td></tr><tr><td>Draadloze Toegangsverbinding </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Remote Access </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Externe connectie </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr><td>Toegang Mobiele Apparatuur </td> <td>NIST, ISO </td> <td>Thema: Werkplek </td></tr><tr style="background-color:#bfbfbf"><td> Overige </td> <td> </td> <td> </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3. </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Inlogprocedures </td> <td colspan="2"> U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren? </td></tr><tr><td>Verantwoordelijkheden gebruikers ISO 9.3 </td> <td colspan="2"> Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! </td></tr><tr><td>Wachtwoordenbeheer U.05 </td> <td colspan="2"> Missen daar niet de rest van de ISO 9.4.3.-indicatoren? </td></tr><tr><td>Verwijzingen naar practices opnemen </td> <td colspan="2"> </td></tr></table>  +
BIO Thema Toegangsbeveiliging - Doelstelling en risico per object +Overzichten van de [[beveiligingsprincipes]] en daaraan gerelateerde doelstellingen, risico's en controls  +
BIO Thema Toegangsbeveiliging - Een scenario voor Toegangsbeveiliging +Voor de inrichting en evaluatie van voorzieningen voor toegangbeveiliging, dient de fasering van onderdtaande figuur te worden gebruikt. Dit geldt zowel interne als externe medewerkers: * Indiensttreding (Instroom): In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectie procedure, de noodzakelijke zaken voor de werknemer moeten regelen; * Tijdens dienstverband (Doorstroom): in deze fase worden werknemers via trainingen en opleidingen bewust gemaakt over het omgaan van bedrijfsmiddelen (o.a. bedrijfsgegevens) en hoe om te gaan met aspecten aangaande informatiebeveiliging. Dit is afhankelijk van de functie van de werknemer; * Uitdiensttreding (Uitstroom): in deze fase treft werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan haar/hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren. [[Afbeelding:Thema Toegangbeveiliging - De relaties tussen de drie fases van toegangbeveiliging.png|thumb|500px|none|alt=”De relaties tussen de drie fases van toegangbeveiliging”]] ==Indiensttreding nieuwe medewerkers== Met de verstrekking van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas (bijvoorbeeld een Rijkspas waarmee hij/zij toegang krijgt tot het gebouw en de bij de functie horende ruimtes (fysieke toegangbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot de logische ruimtes; oftewel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, (zoals de KA of de front office omgeving) en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij/zij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. # Personeelsafdeling - De personeelsafdeling (ofwel Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand; # Facilitair Bedrijf - zorgt voor een fysieke werkplek (bureau, stoel, etc.) en maakt een toegangspas aan (Rijkspas = identificatiemiddel); # Gegevens/proceseigenaar- zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties); # ICT afdeling - zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties alsmede het authenticatiemiddel (Rijkspas). Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: Het bieden van geautoriseerde toegang. Er zijn daarvoor meerdere gegevens van de medewerker en acties van de organisatie voor nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn/haar taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid.Onderstaande geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker. [[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding van een medewerker.png|thumb|500px|none|alt=”Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker”]] Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen is de medewerker geidentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot gebouwen en ruimtes van de organisatie in de vorm van een toegangspas, en een logisch toegangsbewijs in de vorm van een account voor toegang tot IV-faciliteiten. Na inloggen met behulp van de inloggegegevens (account of tewel identificatie en authenticatie) krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Onderstaande figuur geeft hiervan een overzicht. [[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|500px|none|alt=”Het autorisatieproces”]] ==Tijdens het dienstverband== Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen op basis van de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie / project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd, de toegangsrechten worden aangepast, geblokkeerd of verwijderd. ==Uitdiensttreding== Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.  +
BIO Thema Toegangsbeveiliging - Inleiding +In dit document wordt het thema toegangbeveiliging uitgewerkt. Hierbij heeft de werkgroep BZK het document ‘Logische toegangbeveiliging’ dat door ADR en UWV/CIP in een samenwerkingsverband was opgesteld als uitgangspunt gehanteerd. Het betrof een pilot om het theoretisch SIVA-raamwerk in praktijk te brengen alsmede het opleveren van een vaktechnisch verantwoord normenkader voor het BIR-thema ‘Logische toegangbeveiliging’. De resultaten van de pilot zijn destijds bij de opdrachtgevers van ADR, de vaktechnische commissie van ADR, het BIR coördinatoren overleg van BZK en op een PiVB/Norea seminar gepresenteerd. ==Toegangbeveiliging== Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organistatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat haar data misbruikt wordt, wat kan leiden tot boetes, imago schade en klantenverlies. toegangbeveiliging omvat logsiche- en fysieke toegangbeveiliging. '''''Logische toegangbeveiliging''''' is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen van een organisatie. De uitwerking van dit thema is gericht op identificatie authenticatie en autorisatie van personen voor systemen die op een bepaalde locatie staan met vaste medewerkers. '''''Fysieke toegangbeveiliging''''' is het geheel van richtlijnen, procedures, systemen en beheersingsprocessen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot gebouwen en ruimten van het rekencentrum. Dit document geeft inzicht in een thematische opzet van een referentiekader van het thema Logische toegangbeveiliging. De uitwerking vindt plaats vanuit het BIO en ISO 27000 (2013). We hanteren in het vervolg een algemener term ‘toegangbeveiliging’. ==Scope en Begrenzing== In het algemeen is toegangbeveiliging gerelateerd aan toegang tot: terreinen, gebouwen en ruimtes, gebruikers, informatiesystemen, besturingssystemen, netwerken, mobiele devices en telewerken. In dit document ligt de focus op toegangsbeveiling met betrekking tot terreinen, gebouwen en ruimtes (fysieke toegang), eindgebruikers en informatiesystemen (logische toegang). De overige toegangbeveiligingsonderdelen (toegang tot besturingssytemen, -netwerken, -mobiele computers, en telewerken) zullen separaat worden behandeld. ==Opzet thema toegangbeveiliging== Het thema toegangbeveiliging wordt achtereenvolgens uitgewerkt langs twee onderdelen: Objecten en Structuur. De objecten vormen de inhoudelijke onderwerpen die in de vorm van control en onderliggende criteria zullen worden behandeld (Zie hoofdstuk 7, 8 en 9). De vaststelling en omschrijvingen van de objecten worden behandeld in hoofdstuk 2. De objecten worden vervolgens gestructureerd door middel van een lagenstructuur. Deze structuur wordt behandeld in hoofdstuk 3. Figuur 1 geeft een globale schets van de gehanteerde structuur. Details over afleiding van objecten en de gehanteerde structuur wordt geschetst in het Toelichtingsdocument; een standaard methodiek waarmee BIO-thema’s worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’. [[Afbeelding:Thema Toegangbeveiliging - Globale opzet logische en fysieke beveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke beveiliging”]]  +
BIO Thema Toegangsbeveiliging - Objecten gerelateerd aan SIVA basiselementen + # Beleid domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Beleid domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Beleid domein”]] # Uitvoering domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Control domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control domein”]] # Control domein[[Afbeelding:Thema Toegangbeveiliging - Overzicht van objecten gerelateerd aan SIVA-basiselementen in het Uitvoering domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het Uitvoering domein”]]   +
BIO Thema Toegangsbeveiliging - Structuur van het thema Toegangbeveiling +De BIO norm is ingedeeld op basis van ISO-27002 hoofdstukindeling. Bij de beoordeling van een thema, zoals de toegangbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het moeilijk om de juiste normen uit BIO te selecteren. Voor de noodzakelijke beeldvorming van de omgeving van toegangbeveiliging hebben we eerst de relaties van de noodzakelijke onderdelen schematisch, in Figuur 3, weergegeven. De componenten zijn onderverdeeld in lagen. '''''Beleidsdomein''''' – Dit domein bevat algemene conditionele zaken met betrekking tot inrichting van de toegangbeveiliging, zoals toegangsbeleid. Het bevat ook andere conditionele en rand voorwaardelijke aspecten die van toepassing zijn op de overige lagen binnen het uitvoeringsdomein en het control domein. Het bevat in het algemeen o.a. de objecten: informatiebeveiligingsbeleid, encryptie, strategie en vernieuwing, organisatiestructuur en architectuur. '''''Uitvoeringsdomein''''' – Dit domein omvat verschillende objecten van de te implementeren maatregel. Deze implementatieobjecten zijn georganiseerd langs de volgende lagen: # Proces laag - Binnen deze laag zijn vanuit een organisatorische en procedurele invalshoek componenten vastgelegd. De van belang zijnde componenten zijn: Gebruiker, Rol, Profiel en Taak. De relatie tussen deze componenten kan gelezen worden als: ## een gebruiker heeft een rol; ## op basis van deze rol wordt zijn/haar profiel bepaald; ## op basis van zijn/haar profiel worden de rechten bepaald op basis waarvan hij/zij zijn/haar taak kan uitvoeren. # Toegangsvoorziening laag - Dit is de laag waarin wordt vastgelegd op basis van welke middelen gebruikers en beheerders toegang krijgen tot applicaties. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers, ‘remote gebruikers’ en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. # Applicatie laag - De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratie systemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. # Opslag - Geeft de verschillende registraties weer die onder meer worden gebruikt voor analyse doeleinden. # Systeem laag - Binnen deze laag wordt aangegeven dat de identificatie/authenticatie via workstation worden aangeboden. Binnen deze omgeving worden ten aanzien van het accountmanagement bepaalde eisen gesteld. '''''Controldomein''''' - Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan toegangbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de ITIL processen, die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van toegang zelf. In ondersdtaande figuur wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. [[Afbeelding:Thema Toegangbeveiliging - Schematische weergave van de componenten in een drielagenstructuur.png|thumb|500px|none|alt=”Schematische weergave van de componenten van het logische toegangbeveiligingssysteem in een drielagenstructuur”]]  +
BIO Thema Toegangsbeveiliging - Verbindingsdocument +==A1 Context van Toegangsbeveiliging== [[Afbeelding:Thema Toegangbeveiliging - Verbindingsniveau voor toegangsbeveiliging.png|thumb|250px|none|alt=”Verbindingsniveau voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”]] Bij indiensttreding ontvangt een medewerker een toegangspas waarmee hij/zij toegang krijgt tot het gebouw en ruimtes (fysieke toegangsbeveiliging). Hiernaast krijgt de medewerker ook toegang tot de kantoorautomatiseringsomgeving, specifieke applicaties en gegevensverzamelingen met bijbehorende specifieke rechten. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: personeelsafdeling, facilitaire zaken, en ICT afdeling. Deze stappen bieden van geautoriseerde toegang. Hiervoor zijn meerdere gegevens van de medewerker en acties van de organisatie nodig om hem/haar in staat te stellen voor het uitvoeren van zijn/haar taken. Onderstaande figuur geeft een beeld van de processtappen. [[Afbeelding:Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem.png|thumb|500px|none|alt=”Thema Toegangbeveiliging - Processtappen van het toegangbeveiligingssysteem”]] Na deze processtappen bezit de medewerker (gebruiker) dan de nodige middelen, een fysiek toegangsbewijs (toegangspas) en een logisch toegangsbewijs (account) voor toegang tot Informatiesystemen. De toegang tot gegevens wordt gereguleerd door de gegevenseigenaar. De beheerder zorgt ervoor dat gebruiker daadwerkelijk de noodzakelijke informatiesystemen kan benaderen. Na inloggen met behulp van de inloggegevens (account oftewel identificatie en authenticatie) krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand op basis van de rol van de gebruiker en geeft hem/haar het recht bepaalde taken in de applicatie uit te voeren. De boven genoemde essentiële elementen van de toegangsomgeving kan onderverdeeld worden in drie domein: Beleidsdomein, Uitvoeringsdomein en Conrol domein. Dit wordt in onderstaande figuur afgebeeld. [[Afbeelding:Thema Toegangbeveiliging - Indeling van de essentiële elementen in de drie domeinen.png|thumb|500px|none|alt=”Indeling van de essentiële elementen in de drie domeinen van het logische toegangbeveiligingssysteem”]] Onderstaande figuur geeft een meer gedetailleerde weergave van de relevante elementen. [[Afbeelding:Thema Toegangbeveiliging - Weergave van de essentiële elementen voor toegangsbeveiliging.png|thumb|500px|none|alt=”Weergave van de essentiële elementen voor toegangsbeveiliging van het logische toegangbeveiligingssysteem”]] ==A2 Generieke toegangsbeveiligingsobjecten== Onderstaande tabel geeft een overzicht van de elementen (de zogeheten generieke objecten) op basis waarvan een toegangsomgeving van een organisatie kan worden beveiligd. <table class="wikitable"><caption align="bottom">Overzicht van de geïdentificeerde objecten uit BIO/ISO</caption> <tr><th> </th> <th>BIO/ISO Nr. </th> <th>Generieke objecten </th></tr><tr><td>1. </td> <td>9.1.1. </td> <td style="background-color:#ffd966">Toegangsbeveiligingsbeleid </td></tr><tr><td>2. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">Eigenaarschap bedrijfsmiddelen </td></tr><tr><td>3. </td> <td>6.1.2. </td> <td style="background-color:#ffd966">Beveiligingsfunctie </td></tr><tr><td>4. </td> <td>10.1.1. </td> <td style="background-color:#ffd966">Cryptografie </td></tr><tr><td>5. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ffd966">Beveiligingsorganisatie </td></tr><tr><td>6. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ffd966">Toegangsbeveiligingsarchitectuur </td></tr><tr><td>7. </td> <td>9.2.1. </td> <td style="background-color:#ff9999">Registratieprocedure </td></tr><tr><td>8. </td> <td>9.2.2. </td> <td style="background-color:#ff9999">Toegangsverleningsprocedure </td></tr><tr><td>9. </td> <td>9.4.2. </td> <td style="background-color:#ff9999">Inlogprocedure </td></tr><tr><td>10. </td> <td>9.2.6. </td> <td style="background-color:#ff9999">Autorisatieproces </td></tr><tr><td>11. </td> <td>9.4.3. </td> <td style="background-color:#ff9999">Wachtwoord beheer </td></tr><tr><td>12. </td> <td>9.2.3. </td> <td style="background-color:#ff9999">Speciale toegangsrechten beheer </td></tr><tr><td>13. </td> <td>12.1.4. </td> <td style="background-color:#ff9999">Functiescheiding </td></tr><tr><td>14. </td> <td>9.2.4. </td> <td style="background-color:#ff9999">Geheime authenticatie-informatie (Identificatie & Authenticatie) </td></tr><tr><td>15. </td> <td>9.4.1. </td> <td style="background-color:#ff9999">Autorisatie </td></tr><tr><td>16. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#ff9999">Toegangsvoorzieningsfaciliteiten </td></tr><tr><td>17. </td> <td>11.1.2. </td> <td style="background-color:#ff9999">Fysieke toegangsbeveiliging </td></tr><tr><td>18. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#99ccff">Beoordelingsrichtlijnen en procedures </td></tr><tr><td>19. </td> <td>9.2.5. </td> <td style="background-color:#99ccff">Beoordeling toegangsrechten </td></tr><tr><td>20. </td> <td>12.4.1. </td> <td style="background-color:#99ccff">Gebeurtenissen registreren (Logging en Monitoring) </td></tr><tr><td>21. </td> <td style="background-color:#c6e0b4">SA </td> <td style="background-color:#99ccff">Beheersingsorganisatie toegangsbeveiliging </td></tr> </table> <table style="border: 1px solid #888"><caption>Legenda</caption> <tr> <td style="background-color:#ffd966; width:3em;"> </td> <td>[[Beveiligingsaspect Beleid|Beleid]] </td></tr><tr> <td style="background-color:#ff9999"> </td> <td>[[Beveiligingsaspect Uitvoering|Uitvoering]] </td></tr><tr> <td style="background-color:#99ccff"> </td> <td>[[Beveiligingsaspect Control|Control]] </td></tr></table> Deze generieke objecten zijn veralgemeniseerde bron-objecten die uit de baselines zijn geïdentificeerd, zoals ISO, NIST en * SoGP. Het voordeel van generieke objecten is dat ze hergebruik bevordert. De generieke objecten, inclusief de bij behorende control en onderliggende criteria, zullen in een objecten bibliotheek (ISOR) worden opgenomen en in de toekomst als authentieke bron gaan fungeren. De generieke objecten die uit ISO 2700x/BIO zijn afgeleid zijn verplicht voor de overheid en is daarom in de BIO ‘verplicht’ genormeerd. De generieke objecten die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van het toegangs-beveiligingsgebied zijn met behulp van SIVA analyse vastgesteld en zijn afgeleid uit overige standaarden, zoals NIST, Standard of Good Practice, BSI en ITIL. ==A3 Overzicht van de generieke objecten gerelateerd aan SIVA-basiselementen== Onderstaande figuur worden de generieke objecten in de aandachtsgebieden Beleid, Uitvoering en Control weergeven. Dit is feitelijk een andere view op de inhoud. [[Afbeelding:Thema Toegangbeveiliging - Overzicht van de generieke objecten in relatie tot SIVA basiselementen.png|thumb|500px|none|alt=”Overzicht van de generieke objecten in relatie tot SIVA basiselementen”]] De generieke objecten hebben een positie in een cel door de koppeling met de SIVA basiselementen. Hierdoor kan de leemtes in de matrix worden vastgesteld en met relevante objecten worden aangevuld. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO -norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de beveiliging van de toegangsomgeving. ==A4 Cross reference naar praktijktoepassingen== Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext. Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten. <table class="wikitable"><caption align="bottom">cross-reference naar praktijktoepassingen van het logische toegangbeveiligingssysteem</caption> <tr><th>Nr. </th> <th>BronBIO/ISO </th> <th>Domein </th> <th>Generieke objecten </th> <th>Best PracticesNORA, NIST, SoGP </th></tr><tr><td>1. </td> <td>9.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Toegangsbeveiligingsbeleid </td> <td>NIST, SoGP </td></tr><tr><td>2. </td> <td>8.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Eigenaarschap bedrijfsmiddelen </td> <td>NIST, IBD, SoGP </td></tr><tr><td>3. </td> <td>6.1.2. </td> <td style="background-color:#ffd966">B </td> <td>Beveiligingsfunctie </td> <td>SoGP, Cobit </td></tr><tr><td>4. </td> <td>10.1.1. </td> <td style="background-color:#ffd966">B </td> <td>Cryptografie </td> <td>NORA, Themapatroon Encryptie </td></tr><tr><td>5. </td> <td>SA </td> <td style="background-color:#ffd966">B </td> <td>Beveiligingsorganisatie </td> <td>Aanvulling </td></tr><tr><td>6. </td> <td>SA </td> <td style="background-color:#ffd966">B </td> <td>Toegangsbeveiligingsarchitectuur </td> <td>NORA, katern beveiliging in samenhang </td></tr><tr><td>7. </td> <td>9.2.1. </td> <td style="background-color:#ff9999">U </td> <td>Registratieprocedure </td> <td>NORA, Themapatroon IAM </td></tr><tr><td>8. </td> <td>9.2.2. </td> <td style="background-color:#ff9999">U </td> <td>Toegangsverleningsprocedure </td> <td>ISO </td></tr><tr><td>9. </td> <td>9.4.2. </td> <td style="background-color:#ff9999">U </td> <td>Inlogprocedure </td> <td>NORA, Patroon Access Management (AM </td></tr><tr><td>10. </td> <td>9.2.6. </td> <td style="background-color:#ff9999">U </td> <td>Autorisatieproces </td> <td>NORA, Patroon IAM en AM </td></tr><tr><td>11. </td> <td>9.4.3. </td> <td style="background-color:#ff9999">U </td> <td>Wachtwoord beheer </td> <td>SoGP, ISO, NIST </td></tr><tr><td>12. </td> <td>9.2.3. </td> <td style="background-color:#ff9999">U </td> <td>Speciale toegangsrechten beheer </td> <td>SoGP, ISO, NIST </td></tr><tr><td>13. </td> <td>12.1.4. </td> <td style="background-color:#ff9999">U </td> <td>Functiescheiding </td> <td>SoGP, ISO, NIST </td></tr><tr><td>14. </td> <td>9.2.4. </td> <td style="background-color:#ff9999">U </td> <td>Geheime authenticatie-informatie (Id. & Auth.) </td> <td>NORA, Patroon Identity Management (IM) </td></tr><tr><td>15. </td> <td>9.4.1. </td> <td style="background-color:#ff9999">U </td> <td>Autorisatie </td> <td>NORA, Patroon IM en AM </td></tr><tr><td>16. </td> <td>SA </td> <td style="background-color:#ff9999">U </td> <td>Toegangsvoorzieningsfaciliteiten </td> <td>NORA, Patroon Access Management </td></tr><tr><td>17 . </td> <td>11.1.2. </td> <td style="background-color:#ff9999">U </td> <td>Fysieke toegangsbeveiliging </td> <td>ISO </td></tr><tr><td>18. </td> <td>SA </td> <td style="background-color:#99ccff">C </td> <td>Beoordelingsrichtlijnen en procedures </td> <td>Aanvulling </td></tr><tr><td>19. </td> <td>9.2.5. </td> <td style="background-color:#99ccff">C </td> <td>Beoordeling toegangsrechten </td> <td>NORA, Patron Access Management </td></tr><tr><td>20. </td> <td>12.4.1. </td> <td style="background-color:#99ccff">C </td> <td>Gebeurtenissen registreren (Logging en Monitoring) </td> <td>NORA, Patroon SIEM en Logging </td></tr><tr><td>21. </td> <td>SA </td> <td style="background-color:#99ccff">C </td> <td>Beheersingsorganisatie toegangsbeveiliging </td> <td>Aanvulling </td></tr></table>  +
BIR (Baseline Informatiebeveiliging Rijksdienst) +De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm ISO/IEC 27002. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende veiligingseisen maken risicomanagement eenvoudiger.  +
BLAU (Basisregistratie Lonen Arbeidsverhoudingen en Uitkeringen) +BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt.  +
BRI (Basisregistratie Inkomen) +De Basisregistratie Inkomen (BRI) bevat van circa dertien miljoen burgers het authentieke inkomensgegeven. Dit is -uitsluitend - het verzamelinkomen, of als dat er niet is, het belastbare jaarloon over het afgelopen kalenderjaar. En gegevens zoals het burgerservicenummer (BSN). [https://www.stelselvanbasisregistraties.nl/registraties/ Stelsel van basisregistraties]  +
BRI/Batch-gewijs via bestanden +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Batch-gewijs via bestanden (vraaggedreven) +Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +
BRI/Inzage BRI +Inzage geregistreerd inkomen (BRI) voor burgers op MijnOverheid vanaf 1 juni 2015. Plan is om in de loop van 2016 ook op MijnBelastingdienst te realiseren.  +
BRK (Basisregistratie Kadaster) +De Basisregistratie Kadaster (BRK) bevat informatie over percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken. Daarnaast staan er kadastrale kaarten in met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten.  +
BRK/BAG koppeltabel +Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster]  +
BRK/Digitale- kadastrale kaart service +Bestandslevering van de Geautomatiseerde Kadastrale Registratie. Voor bestaande afnemers mutaties af te nemen via downloadservice. Product wordt uitgefaseerd per 1 januari 2017 en is beschikbaar als webservice en download via PDOK.  +
BRK/Gegevensverstrekking via abonnement +Op basis van afspraken wordt een bestand geleverd.  +
BRK/Gegevensverstrekking via selecties +Klanten ontvangen op basis van een abonnement een afgesproken selectie van gegevens.  +
BRK/KIK inzage +Webservice voor het online inzien van de BRK, te weten kadastraal bericht persoon, kadastraal bericht object, hypothecair bericht object, uittreksel kadastrale kaart, negatieve mededeling. [http://www.kadaster.nl/web/artikel/Alle-producten-1/KIKinzage-1.htm KIK-inzage op website Kadaster]  +
BRK/Kadaster online-Kada internet +Middels [https://mijn.kadaster.nl/security/login.jsp Kadaster-on-line] kunnen handmatig uittreksels worden opgevraagd van de kadastrale kaart, daarnaast kunnen kadastrale berichten, hypothecaire berichten en objectenlijsten worden opgevraagd. Middels [https://mijn.kadaster.nl/security/login.jsp Kada internet] kunt u vastgoedinformatie online aanvragen en inzien. [http://www.kadaster.nl/web/artikel/productartikel/Mijn-Kadaster-20.htm "Mijn Kadaster" op website Kadaster]  +
BRK/MO AKR-DKK via Kadainternet + * [http://www.kadaster.nl/web/Themas/Themapaginas/Alle-dossierartikelen/Massale-output-onroerend-goed-1.htm Massale output onroerendgoed op website Kadaster] * [http://www.kadaster.nl/web/artikel/productartikel/Digitale-kadastrale-kaart.htm Digitale Kadastrale kaart op website Kadaster]   +
BRK/PDOK Digitale kadastrale kaart +Webservice voor het opvragen van de kadastrale kaart binnen een zelf te specificeren uitsnede. Wordt geleverd door PDOK volgens WMS en WMTS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/k Digitale Kadastrale Kaart op website PDOK]  +
BRK/PDOK bestuurlijke grenzen +Webservice voor het opvragen van rijks-, provincie- en gemeentegrenzen. Wordt geleverd volgens WMS en WFS standaard. [https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/b Bestuurlijke grenzen op website PDOK]  +
BRK/Webapplicatie individuele bevraging +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/Webapplicatie individuele bevraging (machine-machine) +Via online verbinding gegevens uit de BRV raadplegen.  +
BRK/levering mutaties abonnement +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. * [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen.  +
BRK/levering stand +Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, periodieke standlevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. Verwerkingstermijn: maximaal 15 werkdagen. * [http://www.kadaster.nl/web/Themas/Registraties/BRK.htm BRK Levering op website Kadaster]  +
BRK/massale informatieverstrekking +Bestandslevering van de geautomatiseerde Kadastrale Registratie (AKR) Mutaties af te nemen via downloadservice. Product is uitgefaseerd per 1 januari 2016 en is vervangen door BRK Levering.  +
BRO (Basisregistratie Ondergrond) +Informatie over de ondergrond (bodem, geologie, grondwater, mijnbouw) is nodig bij een groot aantal overheidstaken, zoals het winnen van water, aardgas of aardwarmte of de opslag van CO2. Dat moet duurzaam, veilig en efficiënt gebeuren. De daarvoor benodigde ondergrondgegevens zijn te gebruiken vanuit de Basisregistratie Ondergrond (BRO). De BRO maakt deel uit van het stelsel van basisregistraties. De BRO voegt daar gegevens over de diepe en ondiepe ondergrond aan toe. Nu zijn deze ondergrondgegevens nog in beheer bij verschillende organisaties. Ze zijn daardoor niet in dezelfde mate gedigitaliseerd, gestandaardiseerd en geharmoniseerd en maar deels publiek beschikbaar. Dankzij de BRO hebben alle gegevens straks een gevalideerde, hoge kwaliteit en zijn ze voor iedereen vrij beschikbaar. De overheid kan planprocessen en beheerstaken efficiënter uitvoeren en de kwaliteit van haar dienstverlening verbeteren.  +
BRP (Basisregistratie Personen) +De Basisregistratie Personen (BRP) is een basisregistratie in ontwikkeling (programma Modernisering GBA). De BRP bevat persoonsgegevens over alle ingezetenen van Nederland en over personen die niet in Nederland wonen - of hier slechts kort verblijven - maar die een relatie hebben met de Nederlandse overheid, de 'niet-ingezeten'. De BRP wordt gebaseerd op twee bestaande administraties: *GBA (Gemeentelijke Basisadministratie Persoonsgegevens): Gegevens over personen ingeschreven bij een Nederlandse gemeente. De GBA heeft op dit moment al de status van een basisregistratie; *RNI (Registratie Niet-Ingezetenen). Gegevens over personen die niet in Nederland wonen, maar wel een relatie met de Nederlandse overheid hebben. Zoals grensarbeiders, buitenlandse studenten en 'pensionado's'. De RNI is op 6 januari 2014 ingevoerd met de inwerkingtreding van de nieuwe wet basisregistratie personen. Daarnaast is er nog de PIVA Verstrekkingen. Deze bevat gegevens over personen ingeschreven op de BES-eilanden (Bonaire, Sint Eustatius en Saba). De persoonslijsten in de PIVA-V en de persoonslijsten in de GBA komen grotendeels overeen, maar er zijn enkele verschillen. In het document ‘Verschillenmatrix persoonslijst GBA versus PIVA’ worden deze verschillen beschreven. Mogelijk zullen in de toekomst de BES-eilanden ook onderdeel uitmaken van de BRP. Daar is echter nog geen besluit over genomen.  +
BRP-Ad Hoc vraag-verstrekking op verzoek +Verstrekking van gegevens van een bepaalde ingeschrevene naar aanleiding van een door afnemer gestelde vraag.  +
BRP/Adresvraag +Geeft persoonsgegevens van alle op een adres ingeschreven personen. Bevragen kan met een adres als ingang of met persoonsgegevens als ingang.  +
BRP/Conditionele verstrekking +Eenmalige verstrekking naar aanleiding van een relevante wijziging op de persoonslijst, bijvoorbeeld ‘persoon is geëmigreerd'.  +
BRP/Selectieverstrekking +Eenmalige of periodieke bulkverstrekking van gegevens van personen die aan een bepaalde voorwaarde voldoen. Deze verstrekking is bijvoorbeeld geschikt voor vragen als ‘alle personen die nu ouder zijn dan 65’.  +
BRP/Spontane verstrekking +De afnemer kan indicaties laten plaatsen bij individuele personen, en krijgt dan eerst een ‘vulbericht’ met alle gegevens waarvoor geautoriseerd; later de mutaties die optreden bij deze personen (was-wordt berichten). Mutaties worden binnen afgesproken tijd aan de afnemer aangeleverd.  +
BRT (Basisregistratie Topografie) +De Basisregistratie Topografie (BRT) is dé unieke bron voor alle topografische informatie. De BRT gegevens worden geactualiseerd, beheerd en uitgeleverd door het Kadaster.  +
BRT/Bestandsleveringen +Bestandsleveringen van de verschillende BRT-datasets. Via PDOK: * [http://www.kadaster.nl/web/artikel/productartikel/TOP10NL.htm TOP10NL] (voor schaalniveau’s tussen 1:5.000 en 1:25.000) wordt geleverd in bestandsformaten GML. * [http://www.kadaster.nl/web/artikel/productartikel/TOPvector.htm TOPvector] (voor schaalniveau’s tussen 1:25.000 en 1:250.000) wordt geleverd in de bestandsformaten DGN, DXF en Shape. * [http://www.kadaster.nl/web/artikel/productartikel/TOPgrenzen.htm TOPgrenzen] wordt geleverd in de bestandsformaten DGN en Shape. * [http://www.kadaster.nl/web/artikel/productartikel/TOPnamen.htm TOPnamen] wordt geleverd in de bestandsformaten GDB, Dbase of Excel. (Datasets alleen voor geheel Nederland of deelgebied)  +
BRT/PDOK-Webservices +Webservices die een in het vraagbericht gespecificeerde uitsnede van de Basisregistratie Topografie bieden, welke middels een GIS-applicatie kan worden getoond ‘als plaatje’. Hierbij wordt gebruik gemaakt van de open standaarden, WMS, WMTS en/of TMS. De actualisatiefrequentie van de BRT is 5 kaartbladen per jaar. Elke informatie update betreft circa 10% van Nederland hierdoor ontstaat een integrale actualiteit van 2 jaar . Keus uit de volgende datasets: * [http://www.kadaster.nl/web/artikel/productartikel/TOP10NL.htm TOP10NL] * [http://www.kadaster.nl/web/artikel/productartikel/TOPvector.htm TOP50 vector] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP25 raster] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP50 raster] * [http://www.kadaster.nl/web/artikel/productartikel/TOPraster.htm TOP250 raster]  +
BRV (Basisregistratie Voertuigen) +In de Basisregistratie Voertuigen worden gegevens vastgelegd over voertuigen en de eigenaren daarvan. Uit de registratie verstrekt de Dienst voor het Wegverkeer informatie aan burgers en bedrijven. De gegevens zijn landelijk beschikbaar voor overheidsinstanties, zoals de politie en de Belastingdienst.  +
BRV/Gegevenslevering webservice +Interactieve gegevensverstrekking en –aanlevering via onlineverbindingen  +
BWB +Citeren, vinden en verbinden van wet- en regelgeving gaat door toepassing van de BWB standaard sneller, eenvoudiger en geeft minder kans op fouten. Gebruik van de standaard biedt daardoor verbetering van interoperabiliteit. De open standaard BWB biedt een eenduidige manier van verwijzen naar (onderdelen van) wet- en regelgeving. De laatste versie (versie 1.3.1) maakt het mogelijk om in wet- en regelgeving te kunnen verwijzen naar: * taalversies en onderdelen van internationale verdragen, * wet- en regelgeving waarvan de indeling niet voldoet aan de gebruikelijke nummering van hoofdstukken en paragrafen, en * ruime begrippen zoals “enig artikel”. De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen. De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving". De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen. De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.  +
BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak +BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak  +
Baseline +Een gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.  +
Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd +Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd  +
Basisgegeven +Een in een basisregistratie opgenomen gegeven.  +
Basisregistratie +Een bij wet als basisregistratie aangemerkte registratie.  +
Bedieningsprocedures +Bedieningsprocedures zijn een reeks verbonden taken of activiteiten die noodzakelijk zijn voor het beheren van serverplatforms. De activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.  +
Bedrijfsmiddelen inventaris +In de Huisvesting van rekencentra zijn verschillende bedrijfsmiddelen, voorzieningen en hieraan gerelateerde componenten opgenomen, zoals: glasvezel en bekabeling, back-up voorzieningen, klimaatbeheersing, airconditioning en geavanceerde brandblussystemen. Het is van belang de componenten van deze voorzieningen zelf en/of informatie over deze voorzieningen te inventariseren en te registreren zodat de juiste informatie beschikbaar is, wanneer gebeurtenissen daarom vragen.  +
Bedrijfsmiddelen verwijdering +Bedrijfsmiddelen zijn alle objecten waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en objecten, waarmee toegang tot gebouwen, ruimten en IT-voorzieningen kan worden verkregen. Verwijdering van deze middelen dient nauwkeuring volgens vastgestelde procedures te worden behandeld (ingevoerd, gebruikt en afgevoerd).  +
Begrip 'Informatiecatalogus' is onvoldoende duidelijk +Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen? Zie ook issue IKV-006  +
Begrippenkader katern is onvoldoende uitgewerkt +Soms worden begrippen als synoniemen door elkaar gebruikt, of definities gehanteerd die in veel sectoren niet herkend zullen worden  +
Beheer op afstand +Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen. Onder bepaalde voorwaarden is het beheerders toegestaan door de organisatie beheerde servers "van buiten" te benaderen.  +
Beheer van serverkwetsbaarheden +Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in software die op de servers zijn geïnstalleerd. Kwetsbaarhedenbeheer is een proactieve benadering van beveiliging door de kans te verminderen dat gebreken in software de beveiliging van een server in gevaar brengt. Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vragen die hierbij een rol spelen: * Hoe is de serveromgeving opgebouwd en geconfigureerd? * Wat zijn bekende kwetsbaarheden en zwakheden? Gerelateerd aan ‘Kwetsbaarhedenbeheer’ is het proces ‘Patch-management’. Het ISO-onderwerp ‘Beheer van technische kwetsbaarheden (12.6.1)’ behandelt wat betreft de maatregelen twee onderwerpen: kwetsbaarheden beheer (vulnerability management) (zie: U.04) en patchmanagement (zie: U.05). In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven. In dit thema ‘Serverplatform’ worden deze twee onderwerpen apart beschreven.  +
Beheerderactiviteiten vastgelegd in logbestanden +Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd. Het loggen van activiteiten spitst zich toe tot de bewaking van rechtmatigheid van toegekende rechten en het gebruik hiervan.  +
Beheerorganisatie netwerkbeveiliging +Het adequaat beheersen en beheren van de communicatievoorzieningen vereist een organisatiestructuur waarin de procesverantwoordelijkheden en toereikende bevoegdheden van de functionarissen zijn vastgelegd en op het juiste niveau zijn gepositioneerd.  +
Beheerorganisatie serverplatforms +Voor het adequaat beheersen en beheren van het servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.  +
Beheersing van software ontwikkeling(sprojecten) +De projectmanager heeft een (beheers)organisatiestructuur ingericht waarbij de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.  +
Beheerst (begrip gegevensmanagement) +in een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.  +
Bekabeling +Binnen de huisvesting van de Rekencentra is alle apparatuur verbonden met een bekabelingsysteem die in speciale kabelruimten is geïnstalleerd. Deze bekabelruimten kunnen doelwit worden van misbruik door bijvoorbeeld speciale afluisterapparatuur aan te sluiten. Het is daarom noodzakelijk om deze bekabelingsruimten te voorzien van specifieke beveiligingsmaatregelen.  +
Belastingdienst +Heeft een eerste registratie, de [https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/werk_en_inkomen/geregistreerde_inkomen_en_de_inkomensverklaring/alles_over_geregistreerde_inkomen/alles-over-het-geregistreerde-inkomen BRI], via Linked Data ontsloten en werkt Linked Data voor datamining.  +
Beleid en procedures informatietransport +De ISO 27002 (pg.74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem. Dit object richt zich op ‘inrichtings- en onderhoudsaspecten’ van communicatievoorzieningen. In het te formuleren beleid worden o.a. standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van communicatievoorzieningen.  +
Beleid voor (beveiligd) ontwikkelen +De ISO baseline (ISO pg. 74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem. In dit thema worden bij het object ‘beleid voor (beveiligd) ontwikkelen’ aan applicatieontwikkeling beleid gerelateerde specifieke aspecten benadrukt. In zo’n beleid worden onder andere methoden en technieken voor requirementanalyse en richtlijnen met betrekking tot beveiliging in de levenscyclus van softwareontwikkeling besproken.  +
Beleid voor beveiligde inrichting en onderhoud +De ISO-baseline (ISO pg. 74) formuleert ‘beveiligd ontwikkelen’ als een eis voor het opbouwen van beveiligde dienstverlening, software, systemen en architectuur. B ij het object ‘beleid voor (beveiligde) inrichting en onderhoud’. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers.  +
Beoordeling technische serveromgeving +Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatform architectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht.  +
Beoordeling toegangsrechten +Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm: * Het voeren van controle activiteiten op de registratie van toegangsrechten; * het uitbrengen van rapportages aan het management.  +
Beperking van software-installatie +Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld.  +
Beperkingen voor de installatie van software(richtlijnen) +Het installeren van software kan betrekking hebben op drie type actoren: * 'gebruikers' om een bepaald type data analyse in de business omgeving te kunnen uitvoeren; * 'softwareontwikkelaars' voor requirements specificatie, het creëren van datamodellen en het genereren van programmacode; * 'technische beheerders' voor het beheren van servers en netwerkcomponenten. Dit thema is gericht op eisen die gerelateerd zijn aan het installeren van software door ontwikkelaars ten behoeve het specificeren van gebruikersrequirements. Hierbij kan gedacht worden aan het toekennen van minimale rechten (least privileges) aan ontwikkelaars om additionele hulp software te installeren of het toekennen van rechten die gerelateerd zijn aan de regels: need-to-use, need-to-know, need-to-modify, need-to-delete. Het doel hiervan is om risico’s die gerelateerd zijn aan het onbedoeld wijzigen van kritische assets (zoals informatie, software, applicaties en system security controls) te beperken.  +
Berichtenbox voor bedrijven +De berichtenbox voor bedrijven is een beveiligd e-mailsysteem waarmee u, via Antwoord voor bedrijven, digitaal berichten kunt uitwisselen met Nederlandse overheidsinstanties (de Rijksoverheid, provincies, gemeenten en waterschappen). De berichtenbox is bedoeld voor ondernemers die gevestigd zijn in de Europese Economische Ruimte (EER) - dus ook in Nederland - en die hun diensten in Nederland willen aanbieden. De berichtenbox kan gebruikt worden voor procedures die onder de Dienstenwet vallen, en voor procedures waarbij de bevoegde instantie ervoor gekozen heeft deze (ook) via de berichtenbox te laten verlopen.  +
Berichtenbox voor burgers +De berichtenbox (op MijnOverheid) is de digitale postbus voor berichten van de overheid aan burgers. De gemeente meldt bijvoorbeeld dat een paspoort moet worden verlengd. Of de RDW meldt dat een auto gekeurd moet worden. Als er een bericht in de box staat, wordt dit per e-mail gemeld aan de betreffende persoon. Berichten versturen via de berichtenbox is (nog) niet mogelijk.  +
Beschermen van testgegevens +Voor het testen van informatiesystemen worden gebruik gemaakt van verschillende soorten gegevens. Het gebruik van operationele databases met persoonsgegevens of enige andere vertrouwelijke informatie moet worden vermeden of anders moeten de persoonsgegevens worden geanonimiseerd. Testgegevens dienen zorgvuldig te worden gekozen, beschermd en gecontroleerd. NB: Onderscheid moet worden gemaakt tussen a( testen en b) meten. Metingen mogen uitgevoerd worden met behulp van persoonsgegevens voor zover het technisch zodanig is ingeregend dat geen enkel systeem en geen enkele persoon toegang heef tot de inhoudelijkheid van de gegevens; denk aan performance metingen. Acceptatietests mogen worden uitgevoerd door personeel dat uit hoofde van reguliere werkzaamheden toegang hebben tot deze gegevens.  +
Beschikbaarheid (begrip gegevensmanagement) +gegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen.  +
Betrouwbaar +De beschikbaarheid en de kwaliteit van diensten voldoen aan vooraf bepaalde normen. Aangeboden informatie dient bijvoorbeeld juist, authentiek, actueel en volledig te zijn. Processen zijn zodanig ingericht dat dit is gegarandeerd en monitoring van het kwaliteitsniveau plaatsvindt.  +
Betrouwbaarheid +De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.  +
Beveiligde inlogprocedure +De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij dient de geclaimde identiteit op passende wijze en met geschikte techniek te worden vastgesteld. De procedure om in te loggen wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is.  +
Beveiligde ontwikkel- (en test) omgeving +Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden: *' Ontwikkelomgeving' Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving. * 'Testomgeving' Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen; * 'Acceptatieomgeving' Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving; * 'Productieomgeving' Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen. In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.  +
Beveiligen van de verwerking van persoonsgegevens +Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder de Avg).  +
Beveiliging Virtueel serverplatform +Server virtualisatie stelt een organisatie in staat om één of meer gescheiden ‘logische’ omgevingen te creëren op één fysieke server. Bij virtualisatie zijn drie soorten componenten betrokken: een fysieke server, een hypervisor en één of meerdere virtuele servers. De hypervisor alloceert resources van de fysieke server naar elke onderliggende virtuele server, inclusief CPU, geheugen, harddisk of netwerk; hiermee zijn de virtuele servers in staat simultaan of geïsoleerd van elkaar te opereren. Deze drie componenten moeten voldoen aan specifieke eisen.  +
Beveiliging en Gegevensbeschrijvingen in openbare review +Beveiliging en Gegevensbeschrijvingen in openbare review  +
Beveiliging netwerkdiensten +De eisen voor de communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde toegang tot de transportvoorzieningen zelf.  +
Beveiligingsfaciliteiten ruimten +De Rekencentra bevatten verschillende type ruimten, zoals: kantoren, bekabelingruimten en serverruimten. Deze ruimten moeten conform de beveiligingsgraad van deze ruimten voorzien zijn van beveiligingsfaciliteiten.  +
Beveiligingsfunctie toegangbeveiliging +De organisatie beschikt over veel middelen en informatie die beveiligd moeten worden. Hiervoor moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van toegangbeveiliging binnen de gehele organisatie, waaronder het toegangbeveiligingssysteem.  +
Beveiligingsorganisatie +De Beveiligingsorganisatie ziet toe op de naleving van het informatiebeveiligingsbeleid. Waar nodig grijpt de Beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een Beveiligingsorganisatie hierin heeft wordt vooraf expliciet benoemd en vastgesteld. Tevens moet vaststaan hoe de rapporteringslijnen zijn uitgestippeld.  +
Bewaren van persoonsgegevens +Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 27: "De Avg is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen."</sup>.  +
Bijeenkomst expertgroep privacy +{{{Beschrijving}}}  +
Boekje met 10 praktijktoepassingen van Linked Data in Nederland +Boekje met 10 praktijktoepassingen van Linked Data in Nederland  +
Bouwsteen (Begrip) +Voorziening die deel uitmaakt van de infrastructuur van de e-overheid.  +
Bouwstenen geplot op NORA beeldtaal.png +Indeling van bouwstenen zoals gehanteerd in NORA 3.0 Katern strategie. Indeling in Contactfuncties, Identity Management, Basisregistraties, Elektronische informatie-uitwisseling.  +
Bronregistratie +De plaats waar een gegeven of document voor de eerste keer is vastgelegd  +
Burgerservicenummer (BSN) +Het burgerservicenummer (BSN) is het persoonsnummer voor contacten met de overheid. Dit unieke nummer helpt om bijvoorbeeld persoonsverwisselingen te voorkomen. Iedereen die zich voor het eerst inschrijft bij een gemeente krijgt een BSN. Een pasgeboren kind krijgt bij inschrijving in de BRP pas een BSN. Het BSN staat op het paspoort, rijbewijs en identiteitskaart.  +
Business Impact Analyse +Een van de specifieke activiteiten die bij applicatieontwikkeling moet worden uitgevoerd is de Business Impact Analyse (BIA). Hierbij wordt vanuit verschillende optieken de doelomgeving geanalyseerd, om op deze manier de juiste requirements voor de te ontwikkelen applicatie te kunnen identificeren en te traceren.  +
C
CMIS +Content Management Interoperability Services (CMIS) is een open standaard die een scheiding mogelijk maakt tussen zogenaamde ‘content repositories’ en content applicaties. Hierdoor kunnen content (ongestructureerde data, zoals documenten en e-mails) en bijbehorende metadata (beschrijvende data) gemakkelijker worden uitgewisseld. Met behulp van CMIS kunnen applicaties als Content Management Systemen (CMS) en Document Management Systemen (DMS) werken met content die afkomstig is uit verschillende repositories (een soort van opslagplaats voor ongestructureerde data), zonder nieuwe koppelingen te hoeven bouwen of gebruik te hoeven maken van leverancierseigen oplossingen. Het is hierdoor eenvoudiger om informatie en de bijbehorende metadata uit verschillende databases en over organisatiegrenzen heen uit te wisselen. Bovendien is het met CMIS eenvoudiger om te migreren van een systeem naar een ander systeem.  +
CSS +CSS maakt een op een realtief eenvoudige wijze een uniforme opmaak van websites mogelijk. CSS is een simpel mechanisme om opmaak (bijvoorbeeld lettertypes, kleuren, tussenruimtes) toe te voegen aan web pagina's. Met behulp van één stylesheet kunnen alle pagina's van een website uniform worden opgemaakt.  +
CSV +CSV-bestanden (Common Format and MIME Type for Comma-Separated Values Files) kunnen in een rekenblad- of een databaseprogramma worden ingelezen en vervolgens op een beeldscherm als tabel worden gepresenteerd. CSV bestanden bestaan uit regels met informatie waarbij naar ieder los gegeven een komma wordt geplaatst. Het wordt veelgebruikt om gegevens tussen verschillende spreadsheet programma's uit te wisselen en kan ook gebruikt worden op gegevens uit databases over te zetten naar een andere database.  +
Certificering +Certificering vindt plaats door certificatie instellingen; zo bestaan er bijvoorbeeld verschillende ISO-certificaten die door geaccrediteerde certificatie-instellingen worden afgegeven. Klanten eisen steeds vaker dat het certificaat is behaald voordat zij zaken willen doen met de betreffende IV-dienstverlener. Om een ISO-certificaat te kunnen behalen moet aantoonbaar aan een aantal eisen zijn voldaan. Om aan een ISO-norm te kunnen voldoen moeten de werkprocessen in de organisatie inzichtelijk zijn gemaakt en moeten ze beheersbaar en bestuurbaar zijn.  +
Classificatie van Informatie +Binnen ISO is gesteld dat een organisatie haar informatie moet classificeren om ervoor te zorgen dat informatie een passend beschermingsniveau krijgt. Hiervoor moet de organisatie een classificatieschema opstellen en dit schema communiceren binnen de organisatie. Een classificatieschema geeft beveiligingsrichtlijnen voor zowel algemene informatiemiddelen als voor informatie in het ontwikkeltraject. Binnen dit thema moet de projectverantwoordelijke dit classificatieschema als input beschikbaar hebben om binnen de context van de applicatie omgeving te kunnen toepassen. Het classificatieschema beidt specifieke richtlijnen voor het ontwikkeltraject.  +
Communicatievoorzieningen Beleid +Binnen het Beleid-domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Beleiddomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Beleid-domein een rol spelen|alt=”Onderwerpen die binnen het Beleid-domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > B.01 </td> <td > Beleid en procedures informatietransport </td> <td > BIO:132.2.1, ISO27033-1: 6.2 </td> <td > I </td> </tr> <tr> <td > B.02 </td> <td > Overeenkomsten over informatietransport </td> <td > BIO:13.2.2, ISO27033-1 BSI IT-Grundschutz: S.6 </td> <td > F </td> </tr> <tr> <td > B.03 </td> <td > Cryptografiebeleid voor communicatievoorzieningen </td> <td > BIO: 10.3.1, 18.1.5.1 ISO27033-1: 8.8, </td> <td > G </td> </tr> <tr> <td > B.04 </td> <td > Organisatiestructuur van netwerkbeheer </td> <td > BSI S4.2, ISO27033-1: 8.2 ITIL: Netwerkbeheer </td> <td > S </td> </tr> <caption align="bottom">Communicatievoorzieningen, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Communicatievoorzieningen Control +Binnen het Controldomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de beheersingsorganisatie beschrijft de samenhang van de ingerichte processen. Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > C.01 </td> <td > Naleving richtlijnen netwerkbeheer en evaluaties </td> <td > BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 </td> <td > I </td> </tr> <tr> <td > C.02 </td> <td > Netwerkbeveiliging compliancy checking </td> <td > BIO:8.2.2.4, ISO27033-1 ISO27033-2: 7.2.6, 8.7 </td> <td > F </td> </tr> <tr> <td > C.03 </td> <td > Evalueren van robuustheid netwerkbeveiliging </td> <td > BIO:18.1.2, 18.2.1,  ISO27033-1: 8.2.5, SoGP: NW1.3 </td> <td > F </td> </tr> <tr> <td > C.04 </td> <td > Evalueren van netwerkgebeurtenissen (monitoring) </td> <td > BIO:8.2.4, ISO27033-1 </td> <td > G </td> </tr> <tr> <td > C.05 </td> <td > Beheersorganisatie netwerkbeveiliging </td> <td > ISO27003: ISMS, SoGP: NW1.4 </td> <td > S </td> </tr> </table> <caption align="bottom">Communicatievoorzieningen, Voor het Controldomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Communicatievoorzieningen Uitvoering +Binnen het Uitvoeringdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Uitvoeringdomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoering domein een rol spelen|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] <table class="wikitable"> <tr> <th class="tg-0pky"> Nr. </th> <th > Relevante beveiligingsobjecten </th> <th > Referentie naar standaarden </th> <th > IFGS </th> </tr> <tr> <td > U.01 </td> <td > Richtlijnen voor netwerkbeveiliging </td> <td > BIO:8.2.2.3, ISO27033-1 ISO27033-2: 6,7,8 </td> <td > I </td> </tr> <tr> <td > U.02 </td> <td > Beveiligde inlogprocedure </td> <td > BIO:9.4.2, ISO27033-1: 8.4 </td> <td > I </td> </tr> <tr> <td > U.03 </td> <td > Netwerk beveiligingsbeheer </td> <td > BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 </td> <td > F </td> </tr> <tr> <td > U.04 </td> <td > Vertrouwelijkheid- en geheimhoudingsovereenkomst </td> <td > BIO:13.2.4, SoGP: NW1.1 </td> <td > F </td> </tr> <tr> <td > U.05 </td> <td > Beveiliging van netwerkdiensten </td> <td > BIO:13.1.2, ISO27033-1: 10.6 </td> <td > F </td> </tr> <tr> <td > U.06 </td> <td > Zonering en filtering </td> <td > BIO:13.1.3, ISO27033-1: 10.7 ISO27033-2: 7.2.3 NORA Patronen: Zoneringsmodel </td> <td > F </td> </tr> <tr> <td > U.07 </td> <td > Elektronische berichten </td> <td > BIO:13.2.3, ISO27033-1: 10.3, 10.8 </td> <td > F </td> </tr> <tr> <td > U.08 </td> <td > Toepassingen via openbare netwerken </td> <td > BIO: 14.2.1 </td> <td > F </td> </tr> <tr> <td > U.09 </td> <td > Gateways en firewalls </td> <td > ISO27033-4, SoGP: NC1.5 NORA Patronen: Koppelvlak </td> <td > G </td> </tr> <tr> <td > U.10 </td> <td > Virtual Private Networks (VPN) </td> <td > ISO27033-5 NORA Patronen: Vertrouwd toegang-pad </td> <td > G </td> </tr> <tr> <td > U.11 </td> <td > Cryptografische services </td> <td > BIO:10, ISO27033-1: 8.2.2.5 SoGP: NC1.1 NORA Patronen: Encryptie </td> <td > G </td> </tr> <tr> <td > U.12 </td> <td > Wireless Access </td> <td > ISO27033-6 NORA Patronen: Draadloos netwerk </td> <td > G </td> </tr> <tr> <td > U.13 </td> <td > Netwerkconnecties </td> <td > BIO:8.2.2.5, ISO27033-1 NORA Patronen: Koppelvlak </td> <td > G </td> </tr> <tr> <td > U.14 </td> <td > Netwerkauthenticatie </td> <td > NORA Patronen: Beschouwingsmodel Netwerk </td> <td > G </td> </tr> <tr> <td > U.15 </td> <td > Netwerk beheeractiviteiten </td> <td > ISO27033-1: 8.4, ISO27033-2: 8.4 </td> <td > G </td> </tr> <tr> <td > U.16 </td> <td > Vastleggen en monitoren van netwerkgebeurtenissen (events) </td> <td > ISO27033-1: 8.5 ISO27033-2: 8.5 </td> <td > G </td> </tr> <tr> <td > U.17 </td> <td > Netwerk beveiligingsarchitectuur </td> <td > BIO:9.2, ISO27033-1 ISO27033-2: 8.6 SoGP: Network design NORA Patronen: Diverse patronen </td> <td > S </td> </tr> <caption align="bottom">Communicatievoorzieningen, Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten</caption></table>  +
Community Meeting 03-11-2016 +Start Software voor data op het web community  +
Community Meeting 07-04-2017 +Software voor data op het web community meeting  +
Compliance management +Compliance management richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet- en regelgeving en (b) door de organisatie overeengekomen beleid, richtlijnen, standaarden en architectuur. Vanuit optiek van de functionele- en technische beveiligingseisen voor de software is het van belang om via een compliance managementproces vast te stellen in welke mate de gerealiseerde software voldoet aan de verplichtingen die voortvloeien uit wet en regelgeving en uit vooraf overeengekomen beleid, architectuur, standaarden en contracten.  +
Conceptueel informatiemodel +Een van de vier typen modellen zoals gedefinieerd in het [[MIM (Metamodel voor informatiemodellen)]].  +
Congres Zaakgericht werken voor de Overheid 2018: Connect! +Congres Zaakgericht werken voor de Overheid 2018: Connect!  +
Congres Zaakgericht werken voor de Overheid op 1 oktober 2019 +Congres Zaakgericht werken voor de Overheid op 1 oktober 2019  +
Continuiteitsmanagement +Continuïteitbeheer, ook bekend als: Business Continuïty Management Systems (BCMS), is genormeerd en beschreven in NEN-ISO 22313:2014 nl. Bedrijfscontinuïteit is het vermogen van de organisatie, om na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus. Bedrijfscontinuïteitsbeheer (BCM) is het proces waarmee bedrijfscontinuïteit bereikt wordt en gaat over het voorbereiden van een organisatie op het afhandelen van verstorende incidenten die anders zouden kunnen verhinderen haar doelstellingen te bereiken. In de context van Huisvesting Informatievoorziening richt BCMS zich o.a. op de beschikbaarheid van data en bedrijfsfuncties vanuit applicaties en de onderliggende infrastructuur en netwerk op de lange termijn. In het Controldomein gaat het om de vraag of voldoende maatregelen genomen zijn om te zorgen dat na een calamiteit de Huisvesting Informatievoorziening services weer zo snel mogelijk hersteld kunnen worden. Samengevat, continuïteitbeheer: * stelt plannen op, en onderhoudt deze, om voorbereid te zijn om na het zich voordoen van een calamiteit, zo snel mogelijk over te kunnen schakelen op noodvoorzieningen en daarna op een gestructureerde wijze terug te keren naar een (herbouwde) stabiele omgeving. * heeft noodvoorzieningen achter de hand om de belangrijkste activiteiten zo snel mogelijk weer op te starten (uitwijk). * is in staat om, na herstel van de oorspronkelijke omgeving, gestructureerd terug te gaan naar een situatie zoals die was voor het uitbreken van de calamiteit(‘business as usual’).  +
Contractmanagement +Wanneer de ontwikkeling en/of het beheer over de gehele of een deel van de Huisvesting Informatievoorziening wordt uitbesteed, moeten de functionele en beveiligingseisen in een overeenkomst tussen beide partijen worden vastgelegd, zoals in een contract en/of Servicelevel Agreement (SLA). Deze overeenkomst moet garanderen dat er geen misverstanden bestaan tussen de beide partijen.  +
Controle richtlijn +Binnen het Huisvesting Informatievoorziening bevinden zich verschillende bedrijfsmiddelen. Periodiek moet een functionaris met specifieke bevoegdheden controle activiteiten verrichten ten aanzien van de bedrijfsmiddelen Hierdoor kunnen eventuele gebreken tijdig worden vastgesteld en de noodzakelijke maatregelen worden getroffen. Deze activiteiten moeten ondersteund worden met richtlijnen, procedures en instructies, anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.  +
Cryptografie bij authenticatie +Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenciteit, onweerlegbaarheid en authenticatie. Voor toegangbeveiliging is het van cruciaal belang dat authenticatiegeheimen zoals wachtwoorden en PIN-codes worden beschermd tijdens de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde om aan authenticatiegeheimen het gewenste vertrouwen te ontlenen. Met dit beleid de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v. versleuteling van gegevens.  +
Cryptografiebeleid voor communicatie +In ISO27002 worden ten aanzien van communicatievoorzieningen de volgende principes expliciet genoemd: * het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar stellen van passende communicatievoorzieningen; * tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter bescherming van informatie en voor de bescherming, het gebruik en de levensduur van cryptografische beheersmaatregelen (zoals crypto-sleutels).  +
Cryptografische Services +De ISO27002 normeert beleid voor cryptografie en sleutelbeheer. Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor versleuteling van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en netwerkconnecties. De Pas-Toe-en-Leg-Uit lijst van het Forum Standaardisatie benoemt passende beheersmaatregelen.  +
Cyclisch proces (Begrip) +Een proces met een vast en regelmatig terugkerend patroon.  +
D
DHCP +DHCP maakt het mogelijk om automatisch netwerkadressen toe te wijzen aan hosts en maakt het bijvoorbeeld ook mogelijk om de netwerkadressen van DNS server mee te sturen. Het DHCP protocol specificeert een framework dat het mogelijk maakt om configuratie-informatie door te sturen naar hosts op een TCP/IP netwerk.  +
DKIM +DKIM (DomainKeys Identified Mail Signatures) koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail. Daardoor kunnen spam- en phishing-mails beter worden gefilterd.  +
DMARC +Anti-phishing  +
DNSSEC +DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op. DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.  +
DUO gegevenswoordenboek +Het gegevenswoordenboek van DUO vormt sinds 2008 de semantische kern van wettelijke uitvoeringstaken in het onderwijs. Registraties en uitwisselingen tussen DUO, onderwijsinstellingen en andere uitvoeringsorganisaties kunnen worden geduid aan de hand van dit gegevenswoordenboek. Hergebruik is de regel. Modellen voor registraties en uitwisselingen kunnen gebruik maken van dezelfde elementen uit het gegevenswoordenboek. Het gegevenswoordenboek van DUO is gepubliceerd als linked data api.  +
DUTO (Normenkader Duurzaam Toegankelijke Overheidsinformatie) +DUTO is een lijst van eisen voor de duurzame toegankelijkheid van overheidsinformatie, die wordt ontwikkeld door het Nationaal Archief in opdracht van het ministerie van OCW. Met de DUTO-eisen kunnen overheidsorganen bepalen welke maatregelen ze moeten nemen om de digitale informatie die ze ontvangen en creëren, duurzaam toegankelijk te maken. DUTO is bedoeld voor alle informatieprofessionals die betrokken zijn bij het (her)inrichten van werkprocessen en de daarbij gebruikte applicaties.  +
Dataland gegevenswoordenboek +Gegevenswoordenboek over alle gebouwde objecten. Allereerst wordt een toelichting gegeven op de gebruikte terminologie bij de gegevensspecificaties. Vervolgens wordt het gebouwde object gedefinieerd waarop de DataLand-gegevens betrekking hebben. Daarna wordt elk DataLand-gegeven gespecificeerd. Kenmerkend daarvoor is dat DataLand per gegeven, uitzonderingen daargelaten, een voorkeur-specificatie kent en tevens één of meer alternatieve specificaties onderkent.  +
Datum en tijd +De standaard definieert een methode voor het weergeven van de datum en de tijd. De ISO 8601:2004 standaard is van toepassing wanneer data volgens de Gregoriaanse kalender wordt weergegeven, tijden in de het 24-uurs systeem en bij tijdsintervallen, of herhalende tijdsintervallen. Deze ISO standaard zegt niets over data en tijden waarbij woorden worden gebruikt in de representatie en het zegt tevens niets over data en tijden indien bij de representatie geen karakters worden gebruikt.  +
De Monitor Open Standaardenbeleid 2017 als herbruikbare data in NORA ontsloten +De Monitor Open Standaardenbeleid 2017 als herbruikbare data in NORA ontsloten  +
De Nederlandse Loonaangifteketen wint de ASAP Individual Alliance Excellence Award 2017 +De Nederlandse Loonaangifteketen wint de ASAP Individual Alliance Excellence Award 2017  +
De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan +De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan  +
De Privacy Baseline +De Privacy Baseline is een product van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] en is daar een onderdeel van de documentenreeks 'Grip op Privacy.' Het doel van deze documenten is om praktische handvatten te bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren. Dit [[normenkader]] heeft dus betrekking op het onderwerp [[Privacy]] en bestaat uit [[privacyprincipes]], onderliggende [[normen]] en begeleidende teksten. Die zijn gebaseerd op de oorspronkelijke [[media:Privacy Baseline.pdf|CIP-publicatie (PDF, 2,18 MB)]] ===Ontstaansgeschiedenis en relatie met ISOR=== Voor de Privacy Baseline zijn de privacyprincipes uit de wet [[Algemene Verordening Gegevensbescherming (AVG)|AVG]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de [[SIVA-methode]] is ervoor gekozen de Privacy Baseline ook in de [[ISOR]] te plaatsen, in hetzelfde format als de normenkaders Informatiebeveiliging. Een verschil in ontstaansgeschiedenis is de indeling van de principes en onderliggende normen in [[Alle invalshoeken|Invalshoeken]], een belangrijk kernonderdeel van de SIVA-methode om lacunes in de objectenanalyse te ontdekken. Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacy''wet''. De pretentie is dan ook niet om deze op volledigheid en consistentie te toetsen, doch om de gebruiker een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. Toch hebben we zoveel mogelijk - achteraf - de invalshoek ingevuld in de Privacy Baseline om de eenvormigheid binnen de ISOR te vergroten en een indicatie te geven van het handelingsperspectief voor het betreffende onderdeel.  +
De identiteit van een subject is niet uniek +De identiteit van een subject is niet uniek. Van één bepaald subject zijn vaak meerdere identiteiten binnen een organisatie geregistreerd.  +
De lanceringsbijeenkomst voor de DERA 2.0 was een groot succes +De lanceringsbijeenkomst voor de DERA 2.0 was een groot succes  +
De monitor open standaardenbeleid 2016 verwerkt in NORA-wiki +De monitor open standaardenbeleid 2016 verwerkt in NORA-wiki  +
De omgevingsvergunning +Wie een huis wil bouwen, krijgt te maken met verschillende vergunningen en voorschriften. Het gaat om regelingen voor wonen, ruimte en milieu met elk hun eigen criteria en procedures. De vergunningen worden verstrekt door verschillende overheidsinstanties. Dit is voor burgers, bedrijven én de overheid onoverzichtelijk, tijdrovend en kostbaar. Het kan bovendien leiden tot tegenstrijdige beslissingen. Om in deze situatie verbetering te brengen, regelt de Wet algemene bepalingen omgevingsrecht (Wabo) de bundeling van verschillende vergunningen tot één omgevingsvergunning. Gemeenten fungeren hiervoor als loket. Achter dit loket worden de (deel)aspecten nog steeds beoordeeld door verschillende overheidsorganisaties, maar zij stemmen hun activiteiten af om tot één besluit te komen.  +
De tweede druk van Ketens de Baas is nu ook te downloaden als pdf of EPUB +De tweede druk van Ketens de Baas is nu ook te downloaden als pdf of EPUB  +
Definitie Informatiecatalogus +Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen?  +
Definities Geostandaarden +Ook wel genoemd de NEN 3610 conceptenbibliotheek. Hier vindt u definities van concepten die gebruikt worden in [[NEN 3610]] informatiemodellen. Op dit moment zijn dit IMGeo, NEN3610 en IMRO beheerd door Geonovum en IMBRT beheerd door het Kadaster.  +
Definiëren van toegangsrechten is een moeizaam en langdurig proces +Definiëren van toegangsrechten is een moeizaam en langdurig proces.  +
Dienst +Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers).  +
Dienstverlener +De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers)  +
DigiD +DigiD is het digitale authenticatiesysteem voor overheidsorganisaties en publieke dienstverleners. Met DigiD kunnen zij online de identiteit van burgers vaststellen. DigiD zorgt ervoor dat overheidsorganisaties en publieke dienstverleners betrouwbaar zaken kunnen doen met burgers via hun website. Logt een burger met zijn persoonlijke DigiD in? Dan krijgt hij via DigiD het Burgerservicenummer (BSN) teruggekoppeld. Zo weten ze precies met wie ze te maken hebben, en kunnen ze direct nagaan welke informatie ze al hebben over een persoon.  +
DigiD Machtigen +Met DigiD Machtigen kunnen burgers hun overheidszaken via internet door iemand anders laten regelen. Dit is handig als ze hier zelf niet toe in staat zijn. Of ze vinden het makkelijk als iemand anders dit voor ze doet. Het afstaan van de persoonlijke DigiD is hierbij niet nodig. Organisaties die gebruik mogen maken van DigiD kunnen DigiD Machtigen inzetten voor alle digitale diensten aan burgers waarvoor zij DigiD inzetten. Sinds 2012 is het, met de invoering van de diensten catalogus, mogelijk om met één machtigingshandeling een burger voor meerdere diensten te machtigen.  +
DigiInkoop +DigiInkoop (voorheen Elektronisch Bestellen en Factureren (EBF)) is de nieuwe digitale voorziening voor de Rijksdienst en haar leveranciers om het inkoopproces efficiënter, doelmatiger, rechtmatiger en makkelijker te maken. In 2012 en 2013 wordt DigiInkoop gefaseerd ingevoerd bij de ministeries en agentschappen. DigiInkoop bestaat uit een berichtenverkeervoorziening (BVV via [[Digipoort]]) en een e-purchasingvoorziening (EPV).  +
Digikoppeling +Digikoppeling bestaat uit, door het College Standaardisatie vastgestelde, koppelvlakstandaarden. Die standaarden bevatten logistieke afspraken om berichten juist te adresseren, leesbaar en uitwisselbaar te maken en veilig en betrouwbaar te verzenden. Digikoppeling gaat over de 'envelop' en voert uit wat daar op staat. De gegevens gaan dan naar de juiste overheidsorganisatie en naar het juiste adres. Aangetekend of juist niet, versleuteld, als herhaalde aanbieding, of retour-afzender. De inhoud van het bericht in de envelop is voor de geadresseerde. Digikoppeling onderkent twee hoofdvormen van berichtenverkeer: bevragingen en meldingen. De vorm van het berichtenverkeer bepaalt welke koppelvlakstandaard moet worden geïmplementeerd (in de meeste gevallen zal een organisatie aan beide behoefte hebben) Uitgangspunt van Digikoppeling is dat een organisatie op één plaats in de eigen ICT-infrastructuur een koppelpunt volgens Digikoppeling inricht. Digikoppeling biedt een aantal ondersteunende voorzieningen voor de implementatie: Serviceregister, Compliancevoorzieningen en CPA-creatievoorziening. Digikoppeling bestaat dus uit: *[[Digikoppeling (Standaarden)|Digikoppeling Standaarden]] *Digikoppeling-compliancevoorziening *CPA-Creatievoorziening *OIN-register  +
Digikoppeling (Standaarden) +Digikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties. Digikoppeling onderkent twee hoofdvormen van berichtenverkeer: * Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden. * Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden. Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1. In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven.  +
Digilevering +Overheidsinstellingen moeten op de hoogte zijn van gebeurtenissen die voor hun taken relevant zijn. Denk aan de geboorte van een persoon, het starten van een onderneming of het vaststellen van een inkomen. Basisregistraties kunnen gegevens over deze gebeurtenissen leveren. Afnemers van de basisregistraties kunnen zich met Digilevering abonneren op deze gebeurtenissen.  +
Digimelding +Digimelding is de generieke oplossing voor het melden van onjuistheden in basisregistraties. Wanneer overheidsorganisaties gebaseerd op hun eigen informatie vermoeden dat een gegeven in een basisregistratie niet (meer) klopt, kunnen ze dat met Digimelding melden aan de bronhouder. Die onderzoekt de melding vervolgens en wijzigt als dat nodig is de gegevens in de basisregistratie. Digimelding zorgt dat meldingen op een uniforme wijze gebeuren en bij de juiste bronhouder terecht komen. Digimelding bestaat uit twee onderdelen: * [[Digimelding BLT]] * [[Digimelding AS|Digimelding Annotatiespecificatie]]  +
Digimelding BLT +Een voorziening voor het laagdrempelig terugmelden door afnemers. Door één terugmeldvoorziening te ontwikkelen wordt voorkomen dat iedere basisregistratie deze voorziening apart moet ontwikkelen. Ook hoeft een afnemer niet aan iedere basisregistratie op een afwijkende manier terug te melden.  +
Digimelding Specificaties +De Digimelding Annotatie Specificatie (Digimelding AS) en de Digimelding Protocol Specificatie (DMPS) zijn specificaties voor het uitwisselen van terugmeldingen.  +
Diginetwerk +Koppelen gesloten netwerken (o.a. Haagse Ring, Rijksconnect, Rijksinternet)  +
Digipoort +Digipoort is dè plek op internet waar bedrijven hun digitale informatie voor de overheid kunnen aanleveren. Digipoort zorgt er voor dat deze bij de juiste overheidsinstantie wordt afgeleverd. Of in omgekeerde richting.  +
Digitale Basisinfrastructuur +Het beleidskader bevat de uitgangspunten voor de digitale basisinfrastructuur, die dienstverleners met een publieke taak gebruiken voor de inrichting van de publieke dienstverlening aan burgers en bedrijven en waar nodig ook voor hun onderlinge digitale samenwerking.  +
Digitoegankelijk (EN 301 549 met WCAG 2.0) +Door toepassing van Digitoegankelijk worden websites en webapplicaties toegankelijk voor mensen met een functiebeperking. Zo krijgen onder andere dyslectici, kleurenblinden, slechtzienden en blinden dezelfde toegang tot overheidsinformatie als mensen die deze functiebeperkingen niet hebben.  +
DoD 5015.2-STD:2007 Electronic Records Management Software Applications Design Criteria Standard +Electronic Records Management Software applications design criteria Standard DoD 5015.2-STD definieert functionele eisen voor recordsmanagement software en is goedgekeurd door het Nationale archief van de VS. De standaard is ontwikkeld en wordt onderhouden door het Amerikaanse ministerie van Defensie en wordt gebruikt door vele staten en lagere overheden in de VS. Onder de standaard functioneert een uitgebreid certificatieprogramma voor recordsmanagement software en vele (internationale) pakketten zijn inmiddels gecertificeerd. Van de standaard is ook een Nederlandse bewerkte vertaling beschikbaar.  +
Doelarchitectuur +Beschrijving van de gewenste situatie in architectuur ("Soll"). Kan van toepassing zijn op een domein of organisatie en is de tegenhanger van de beschrijving van "gestolde" architectuur ("Ist"-situatie).  +
Doelbinding +Het principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.  +
Doelbinding gegevensverwerking +Het uitgangspunt van doelbinding is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doel-omschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.  +
Doorgifte persoonsgegevens +Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijke<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 28 lid 1.</sup><sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 28 lid 10</sup>. Indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd. Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 27 lid 1.</sup>. Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de Avg geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de Avg van doorgifte aan derde landen en internationale organisaties.  +
Dublin Core metadata element set +Wereldwijde set algemene standaarden en richtlijnen voor metadatering van content op internet, ontwikkeld en beheerd door het Dublin Core Metadata Initiative. Het DCMI is een internationale open community van experts en geïnteresseerden in metadata.  +
E
E-factureren +Bij e-factureren gaat het om het elektronisch verzenden of ontvangen en verwerken van facturen. E-factureren heeft als doel om de huidige verwerking van facturen te automatiseren.  +
E-portfolio NL +NTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties.  +
EAC-CPF (Encoded Archival Context for Corporate Bodies, Persons, and Families) +EAC is een datamodel in XML, voor de toepassing van ISAAR(CPF)en voorziet in een grammatica voor het coderen van de namen van de makers van archiefmateriaal en gerelateerde informatie.  +
EAD (Encoded Archival Description) +EAD is een datamodel in XML, voor de toepassing van ISAD(G), dat is ontwikkeld voor het maken, opslaan, publiceren, koppelen en uitwisselen van archiefbeschrijvingen.  +
EAR begrippenlijst +Begrippen gebruikt in de [[EAR (EnterpriseArchitectuur Rijksdienst)]].  +
ECLI (European Case Law Identifier) +Met de ECLI standaard kunnen: #alle rechterlijke uitspraken in de Europese Unie (zowel van nationale als van Europese gerechten) worden voorzien van een gelijkaardige, unieke en persistente identifier. Deze identifier kan worden gebruikt voor identificatie en citatie van rechterlijke uitspraken en derhalve om deze te vinden in binnenlandse of, buitenlandse, Europese of internationale jurisprudentiedatabanken. #alle rechterlijke uitspraken worden voorzien van uniforme metadata, gebaseerd op de Dublin Core standaard. Het zoeken van uitspraken in allerlei databanken worden daardoor gefaciliteerd.  +
EHerkenning +eHerkenning is een efficiënte én betrouwbare dienst die de digitale herkenning van (zakelijke) afnemers van overheidsdiensten eenvoudig regelt. Een eenvoudige manier van inloggen, identificeren en zetten van digitale handtekeningen met één middel voor meerdere overheidsdiensten. Met eHerkenning is het eenvoudiger voor bedrijven en overheidsdienstverleners om elektronisch zaken (zoals de aanvraag van een bouwvergunning, een ziekmelding van een werknemer of het indienen van een subsidieaanvraag) met elkaar te regelen. Er is een nieuwsbrief eHerkenning, opgeven via [https://eherkenning.nl/nieuws/nieuwsbrief-eherkenning eherkenning.nl]  +
EIDAS verordening +De eIDAS verordening van de EU gaat over electronische identificatie en het opbouwen van een Europees vertrouwenstelsel waarbinnen elkaars identificatiemiddelen worden geaccepteerd om toegang te krijgen tot (grensoverschrijdende) overheidsdienstverlening. De verordening wordt in Nederland omgezet in een [https://www.internetconsultatie.nl/eidas Uitvoeringswet]. De openbare consultatie hierover is inmiddels gesloten.  +
EIF +The European Interoperability Framework (EIF) is a commonly agreed approach to the delivery of European public services in an interoperable manner. It defines basic interoperability guidelines in the form of common principles, models and recommendations.  +
EIRA architectuurlagen.png +Schema van de vier architectuurlagen in de EIRA: Legal view, Organisational view, Semantic view, Technical view (Application and infrastructure). De lagen zijn elk gemodeleerd in ArchiMate en een strippellijn toont dat er relaties tussen elementen in de verschillende lagen bestaan.  +
EML NL +Nederlands toepassingsprofiel op de Election Markup Language. De EML_NL standaard versie 1.0 definieert de gegevens en de uitwisseling van gegevens bij verkiezingen die vallen onder de Nederlandse Kieswet. Het gaat daarbij om de uitwisseling van kandidaatgegevens en uitslaggegevens.  +
EPUB +eBooks of digitale boeken in het ePUB formaat bevatten (in tegenstelling tot bij voorbeeld PDF), minimale opmaak zodat de lezer op zijn apparaat zelf kan kiezen wat het prettigst leest. Zo bevat een ePUB geen paginering en kan de lettergrootte door de gebruiker worden aangepast waardoor de pagina opnieuw uitlijnt.  +
Een gebruikerssurvey over de NORA wiki is uitgestuurd +Een gebruikerssurvey over de NORA wiki is uitgestuurd  +
Een koppelvlak is een Single Point of Failure +Een koppelvlak is een Single Point of Failure. Wanneer er onverhoopt een storing optreedt in één koppelvlak, dan wordt de hele communicatieketen van zones daardoor negatief beïnvloed.  +
Eerste bijeenkomsten NORA Gebruikersraad +Eerste bijeenkomsten NORA Gebruikersraad  +
Eerste versie van het thema Gegevensmanagement +Eerste versie van het thema Gegevensmanagement  +
Eigenaarschap +Binnen Huisvesting Informatievoorziening worden verschillende bedrijfsmiddelen toegepast. Voor een betrouwbare dienstverlening door de Huisvesting Informatievoorziening aan de klanten moeten deze bedrijfsmiddelen continu onderhouden of vernieuwd worden. Tevens moeten deze middelen blijvend aan de actuele beveiligingseisen voldoen. Om te borgen dat de juiste acties aangaande de bedrijfsmiddelen worden ondernomen moet de organisatie de bedrijfsmiddelen toewijzen aan eigenaren en daarbij de taken en verantwoordelijkheden vastleggen.  +
Eigenaarschap van bedrijfsmiddelen +Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan haar toegekende verantwoordelijkheid het toegangbeveiligingssysteem, conform de hieraan gestelde eisen, kan inrichten.  +
Elektronische berichten +Beveiliging van elektronisch berichtenverkeer, omvat e-mail, web-verkeer, schatsessies en ‘streaming’ van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreft: * correcte adressering; * geautoriseerde toegang; * integer datatransport; * toereikend zijn van de beschikbaarheid; * voldoen aan (wettelijke) bepalingen voor elektronische handtekening en onweerlegbaarheid.  +
Engineeringprincipes beveiligde systemen +Bij het ontwikkelen van applicaties worden engineeringprincipes in acht genomen. In ISO zijn twee principes expliciet genoemd: Security by design en defense in depth, hiernaast bestaan nog verschillende andere van belang zijnde principes (engineeringprincipes) die in andere baselines zijn opgenomen.  +
Enterprise-architectuur +Architectuur die de huidige en toekomstige organisatiehuishouding en het transformatiepad daartussen beschrijft (“van Ist naar Soll”).  +
Er staat een technische update van noraonline gepland in de laatste week van augustus 2019 +Er staat een technische update van noraonline gepland in de laatste week van augustus 2019  +
Evaluatie richtlijnen servers en besturingssystemen +Binnen de infrastructuur bevinden zich serverplatforms met verschillende servers en besturingssystemen en die het fundament vormen voor applicaties. Deze servers en hun besturingssystemen moeten daarom continu worden onderhouden, gehardend en op een veilige wijze geconfigureerd. Het is van groot belang dat deze servers en besturingssystemen, in het kader van risicomanagement, periodiek geëvalueerd worden. De evaluatie activiteiten dienen ondersteund te worden met evaluatie richtlijnen, procedures en instructies. Anders bestaat het risico dat de resultaten van de controle activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.  +
Evalueren netwerk monitoring +Het beveiligen van de beveiligingsfuncties is cruciaal voor zekerheid over het bereiken van het beoogde beveiligingsniveau en daarvoor moet het beheer van de beveiligingsfuncties worden vastgelegd in auditlogs en worden beoordeeld; de auditlogs moeten zodanig worden ingericht dat netwerkbeheerders geen toegang kunnen hebben tot de vastgelegde beheerhandelingen.  +
Evalueren netwerkbeveiliging +Binnen de infrastructuur bevinden zich diverse netwerkvoorzieningen en welke het fundament vormen voor de gegevensuitwisseling. Het is noodzakelijk om regelmatig te toetsen of de robuustheid van de beveiliging van de netwerkvoorzieningen voldoet aan de gestelde eisen. Het accent ligt hier op de vraag of sterkte van de beveiliging voldoet aan de actuele eisen. Periodiek dienen zowel de organisatorische als de technische aspecten van beveiligingsmaatregelen beoordeeld te worden en welke vervolgens worden gerapporteerd aan het verantwoordelijke management.  +
Expertgroep Digitale Identificatie en authenticatie/2019-06-12 +{{{Beschrijving}}}  +
Expertgroep Digitale Identificatie en authenticatie/2019-07-24 +{{{Beschrijving}}}  +
Expertgroep Digitale Identificatie en authenticatie/2019-09-03 +{{{Beschrijving}}}  +
Expertgroep Digitale Identificatie en authenticatie/2019-10-15 +Verder met [[Bevoegdhedenbeheer]] en mogelijk uitwerken van Authenticatie van Rechtspersonen i.r.t. het [[NHR (Basisregistratie Handelsregister)]]  +
Expertgroep Digitale identificatie en authenticatie/2018-07-17 +<big>'''NB: Deze bijeenkomst is geannuleerd.'''</big><br> De eerstvolgende bijeenkomst is op [[Expertgroep Digitale identificatie en authenticatie/2018-08-21|21 augustus]]  +
Expertgroep Digitale identificatie en authenticatie/2018-11-20 +__NOTOC__ ==Locatie:== '''We ontmoeten elkaar bij Rijkswaterstaat:''' Derde Werelddreef 1, 2622 HA Delft Voor meer info en route: [https://www.rijkswaterstaat.nl/over-ons/onze-organisatie/organisatiestructuur/centrale-informatievoorziening/centrale-informatievoorziening.aspx Routebeschrijving] ==Huishoudelijk:== * Roland Drijver is onze gastheer en bereikbaar via 06-51398253 * Inloop vanaf 13.45 uur, begin 14.00 uur, einde rond 17.00 uur * Parkeergelegenheid op het eigen terrein (en ook in de buurt, gratis) * Aanmelden bij receptie met een geldig legitimatiebewijs * Internet: openbaar wifi (er is géén govroam, wordt wel aan gewerkt) ==Agenda:== ===1. Welkom en voorstelrondje 15 min=== Roland Drijver neemt ons mee in de architectuurwerkelijkheid bij RWS ===2. Korte intro wat we gaan doen 10 min=== Waaronder het verslag van de vorige keer doornemen [[Expertgroep Digitale identificatie en authenticatie/2018-10-23]] ===3. Kort de stand van zaken 20 min=== * Eric Brouwer Kader IAM [[Identity & Acces Management]] * Bob te Riele Identiteitenbeheer [[Identiteitenbeheer]] * Erwin Reinhoud Authenticatiebeheer [[Authenticatie in de praktijk]] * Menno Stigter [[Impact eIDAS voor Nederland]] * Ben Binnendijk Bevoegdhedenbeheer [[Bevoegdhedenbeheer]] en [[Toegang verlenen]] ===4. IAM-voorzieningen bij JenV 60 min=== Erik Olaf Brinkers en Jaap Scheepstra geven aan hoe de IAM-voorzieningen voor de medewerkers (ambtenaren) van JenV de komende jaren worden uitgerold bij de verschillende onderdelen. Basis daarvoor is het bijgevoegde stuk [[media:Architectuur perspectief Toegang IAM JenV v. 1.0.pdf|Architectuur perspectief Toegang IAM JenV (PDF, 2,68 MB)]] ===5. SAMEN AAN DE SLAG 60 min=== Wim Geurts vertelt ons kort de kernfuncties van de IAM-voorzieningen en -afsprakenstelsels die bij Logius in beheer c.q. ontwikkeling zijn. Daarna gaan we in een paar groepjes aan de slag om die te plaatsen binnen het Kader IAM. We gaan dan aangeven bij welke onderwerpen van IAM naar die voorzieningen en stelsels moet worden verwezen om hergebruik optimaal mogelijk te maken. Bijzonderheden daarbij lichten we meteen toe. ===6. Bijeenkomsten in 2019 10 min=== * zetten we de maandelijkse bijeenkomsten voort? * waar kunnen we dan terecht? * en welke resultaten bespreken we dan? === 7. Wvttk en Afsluiting 5 min === Rondvraag  +
Expertgroep Digitale identificatie en authenticatie/2019-02-05 +Bijgaand een beknopt overzicht van we met elkaar hebben besproken en afgesproken: # Met het doel om de toepassing van IAM in onze (architectuur)ontwerpen te verbeteren, gaan we concrete bouwstenen verbinden aan het “theoretische” kader IAM. # Wim Geurts (Logius) heeft ons het perspectief laten zien van waaruit Logius de bouwstenen bekijkt die bij hen in beheer zijn. Zie [[media:Samenhang der dingen.pdf|de “Samenhang der dingen” (PDF, 278 kB)]]. # Daarna hebben we met elkaar alle onderkende bouwstenen toebedeeld aan de onderwerpen van IAM: ## voor Identiteitenbeheer ## voor Bevoegdhedenbeheer / Machtigen ## voor Authenticatie ## voor overige aspecten, zoals Stelsels # We hebben in groepjes de functionaliteiten van de bouwstenen besproken en zo goed als mogelijk geduid in relatie tot het (onderdeel van het) kader IAM. De resultaten hiervan zijn op foto gezet en wordt nog zsm uitgewerkt. Een eerste uitwerking van Identiteitenbeheer hebben we reeds ontvangen: [[media:Uitwerking voorzieningen Identiteitenbeheer.pdf|Uitwerking voorzieningen Identiteitenbeheer (PDF, 171 kB)]]. # Samen met Logius gaan we voor alle onderkende bouwstenen de volgende info achterhalen: ## Waar op het internet is de bouwsteen beschreven? (we nemen daar een link voor op) ## Welke functionaliteiten heeft die bouwsteen? (wat hebben we er aan) ## Welke relaties heeft de bouwsteen met andere bouwstenen? ## Is de Solution Architectuur ervan beschikbaar? (zo ja, waar of via wie) # We gaan de bouwstenen een plekje geven in de beschrijvingen van de onderwerpen van IAM. ## Bob te Riele en Eric Brouwer zullen dat uitproberen met een beschrijving van Identiteitenbeheer volgens het NORA vijflaagsmodel. Over 2 a 3 weken leveren ze die beschrijving op. ## En Ben Binnendijk en Menno Stigter gaan vanuit de beschrijving van een bouwsteen de relatie leggen met het kader IAM. Zij zijn sneller en verwachten daar slechts ca. 2 weken voor nodig te hebben. # Over ca. 5 a 6 weken komen we weer bijeen om de resultaten te bespreken. We zijn daartoe uitgenodigd bij DNB te Amsterdam  +
Expertgroep Digitale identificatie en authenticatie/2019-03-18 +{{{Beschrijving}}}  +
F
Familie ovaal.png +leden van de NORA familie in een ovale woordenwolk  +
Feedback gevraagd over de ontsluiting van de Privacy Baseline via noraonline (reviewperiode) +Feedback gevraagd over de ontsluiting van de Privacy Baseline via noraonline (reviewperiode)  +
Functiescheiding +In het autorisatie proces gaat het om zowel taken van verschillende type eindgebruikers en beheerders. Het toegangsbeleid dient regels en voorschriften te geven voor de organisatorische en technische inrichting van de toegang tot ICT-voorzieningen, bijvoorbeeld applicatie (gebruikers) en ICT-componenten (beheerders). Het Toegangvoorzieningsbeleid beschrijft onder andere de manier waarop de organisatie omgaat met identiteits- en toegangsbeheer. Er worden de nodige eisen gesteld aan functiescheiding, om een effectief en consistent gebruikersbeheer, identificatie, authenticatie en toegangscontrole mechanismen voor heel de organisatie te waarborgen. Hieronder worden daarvoor de nodige Controls en de indicatoren vermeld.  +
Fysiek of technisch gegevens- of datamodel +Een van de vier typen modellen zoals gedefinieerd in het [[MIM (Metamodel voor informatiemodellen)]].  +
Fysieke toegangbeveiliging +Fysieke beveiliging kan worden bereikt door het opwerpen van allerlei fysieke barrières rond het bedrijfsterrein en de IT-voorzieningen. Elke barrière creëert zo een beveiligde zone, die de totale beveiliging versterkt. Binnen de Huisvesting-IV organisatie dienen beveiligingsniveaus te worden gebruikt om gebieden die IT-voorzieningen bevatten te beschermen. Een beveiligde zone is een gebied binnen een barrière, bijvoorbeeld een muur, een hek dat alleen met een toegangspas geopend kan worden of via een bemande receptiebalie. De locatie en de sterkte van de barrières worden o.a. bepaald door de resultaten van de risicoanalyse.  +
Fysieke zonering +Doel van het indelen in ''beveiligde zones'' (zonering) is enerzijds het scheiden van verantwoordelijkheidsgebieden en anderzijds het mogelijk maken van gecontroleerde doorgang tussen de gedefinieerde gebieden. Voor Huisvesting Informatievoorziening gaat het om fysieke barrières met de verschillende doorgangen daarin.  +
G
GIS +Een Geografisch InformatieSysteem (meestal afgekort tot GIS) is een informatiesysteem waarmee (ruimtelijke) gegevens of informatie over geografische objecten, zogeheten geo-informatie kan worden opgeslagen, beheerd, bewerkt, geanalyseerd, geïntegreerd en gepresenteerd.  +
GWSW (Gegevens Woordenboek Stedelijk Water) +Het GWSW is een ontologie, een speciale datastructuur die assets, systemen en (beheer)processen op het gebied van stedelijk waterbeheer beschrijft. Het is een open datastandaard volgens het linked data principe. Het GWSW is onderdeel van het Semantisch Web en is gemodelleerd in RDF/RDFS/OWL-2.  +
Gateway/Firewall +Gateways en firewalls realiseren de maatregelen voor zowel Zonering als voor Filtering en zijn niet expliciet genormeerd in de ISO27002. De implementatiegids voor Gateways: ISO27033 deel 4 bevat hiervoor het principe, dat gateways en firewalls filterfuncties moeten bevatten, welke zodanig geconfigureerd zijn dat alle netwerkverkeer, zowel inkomend als uitgaand, wordt gecontroleerd en dat uitsluitend toegestaan netwerkverkeer wordt doorgelaten.  +
Gebeurtenissen registreren +Naast het feit dat organisatorische elementen ten aanzien toegangsrechten (rollen) periodiek dient te worden gecontroleerd dienen ook de activiteiten van gebruikers periodiek te worden geanalyseerd. Hiertoe dient gebruik te worden gemaakt van registraties van gebruikersactiviteiten (logging). Er dient tevens regelmatig te worden bewaakt of er onregelmatigheden in de registraties voordoen (monitoring). Tevens dient periodiek getoetst te worden: of de actuele autorisaties nog overeenkomen met de werkelijke situaties. Verder moet het volgende worden beoordeeld: * logging van wijzigingen op autorisaties; * afspraken die niet systeemtechnisch worden afgedwongen (vier ogen principe).  +
Gebruiker +Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem  +
Gebundeld +Wanneer (deel)diensten vanuit het perspectief van de afnemer nauw verwant zijn aan elkaar, worden deze gebundeld gepresenteerd aan de afnemer. Zo ervaart de afnemer ze als waren ze één dienst. Dienstverleners moeten hiervoor afspraken maken met elkaar. Dit kan betekenen dat de achterliggende processen (gedeeltelijk) zijn geïntegreerd, maar dat hoeft niet.  +
Gegeven +Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat  +
Gegevens (begrip gegevensmanagement) +Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd  +
Gegevensbeschrijving +Ook wel 'metagegeven': beschrijving van de inhoud van een gegeven.  +
Gegevensmanagement (begrip) +Gegevensmanagement betreft het integraal en beheerst verwerken van gegevens in een organisatie zowel op strategisch tactisch als operationeel niveau met als doel de gewenste kwaliteit en beschikbaarheid te realiseren.  +
Gegevensmanagement/telefoongesprek 11 maart 2019 +Door omstandigheden hebben we deze bijeenkomst telefonisch gehouden in plaats van in eigen persoon. Aan de telefoon zaten: Reeuward, Jaap, Corine, Henk, Wim en Marieke. Hierbij een korte samenvatting voor wie er niet bij kon zijn. Uit het [[Gegevensmanagement/workshop 6|verslag van vorige keer]] zijn een aantal actiepunten blijven liggen. Jaap had ons een document beloofd over kennismanagement en wetsanalyse en stuurt dit alsnog rond. Zijn actie om begrippen en de betekenissen zoals wij die in de eigen organisaties hanteren uit te vragen en te kijken of er interessante verschillen van mening zij trekt hij in: bij nader inzien is de kans dat dit verwordt tot een semantische discussie over definities te groot. Om in kaart te brengen wat er allemaal gebeurt op dit vakgebied verzamelt Henk bestaande initiatieven en netwerken is Henk verzamelpunt voor alles wat je op dit gebied tegenkomt. Corine geeft aan dat er 14 maart een [https://www.kvk.nl/evenementen/473079/ Datasummit is van de Kamer van Koophandel], waarbij de Kickoff is van een Taskforce Maatschappelijk Verantwoord Datagebruik. Deze taskforce wordt niet vermeld op de pagina (wel in de samenvatting voor zoekmachines, zie [https://duckduckgo.com/?q=taskforce+maatschappelijk+verantwoord+datagebruik&atb=v96-4__&ia=web zoekresultaten]), maar zou zowel een publieke als een private tak moeten krijgen/hebben. Corine gaat naar de summit en houdt ons op de hoogte. Op 4 april (binnen het [[Samen het Gegevenslandschap harmoniseren - symposium 4 april|symposium Samen het gegevenslandschap harmoniseren]] organiseert Marieke een sessie waarbij je jezelf kunt mappen ten opzichte van de bestaande initiatieven, hiervoor zoekt ze voor elk van hen een elevator-pitch met wat basisinformatie. Ze stuurt de leden van de Expertgroep binnenkort een mailtje met welke informatie ze zoekt en welke initiatieven al in beeld zijn. De Taskforce zou hier zeker ook één van kunnen zijn. ==Review van de opgeleverde teksten en vervolgacties== Henk en Robert hebben de meeste teksten gelezen en van feedback voorzien, die je terug kunt zien op de Overleg-pagina van de betreffende pagina's. Henk geeft ter plekke aan vooral de teksten over governance als heel waardevol te ervaren. Marieke geeft aan dat er dinsdag versterking komt in het NORA-team van iemand die ervaring heeft met redactiewerk, zodat er voor 4 april nog een redactieslag gedaan kan worden. Hiervoor is het wel belangrijk dat de auteurs de inhoudelijke opmerkingen die gemaakt zijn oppakken en aangeven hoe ze die verwerkt willen zien. Marieke stuurt een mailtje aan de auteurs waar ze hun tekst en de reviewopmerkingen er op precies terug kunnen vinden. Op [[Gegevensmanagement/leeswijzer]] staat een eerste indeling van de pagina's op inhoudelijke thema's. Deze kan naar behoeven worden aangepast en uitgebreid, door per pagina aan te geven in welke categorie deze valt. Daarnaast is het ook mogelijk om een doorlopende leeslijn van begin tot eind aan te geven of een structuur aan te brengen met lagen van subpagina's. De consensus in het telefoongesprek is dat vlotte doorzoekbaarheid belangrijk is, omdat je het online waarschijnlijk niet helemaal achter elkaar gaat lezen maar daar begint waar het voor jou de meeste meerwaarde heeft. We gaan dus gebruik maken van een inhoudelijke indeling, die in de redactieslag nog wat kan wijzigen (splitsen en hernoemen van pagina's kan bijvoorbeeld zinvol zijn om de leesbaarheid en structuur te verbeteren). Hierbij moet wel helder zijn dat bijvoorbeeld toepassing van de MIM op bestaande gegevenswoordenboeken geen voorschrijvende visie is, maar een voorbeeld. Voor het geheel geldt dat we het de 1.0-versie gaan noemen, die niet pretendeert volledig te zijn en nog verdere integratie en discussie behoeft in de expertgroep zelf en daarbuiten. Geen voorschrijvende visie, maar de bij elkaar gelegde kennis van ons allen, aangevuld met good practices. Henk en Wilfried maken samen een presentatie voor 4 april waarin ze presenteren wat we hebben opgeleverd. Hierbij vragen we om reacties, zowel om onze witte vlekken in te vullen als om voorbeelden en good practices op te sturen. Wat die lege vlekken betreft: wat tot nu toe leeg is gebleven blijft dat waarschijnlijk tot 4 april. Voor gegevenskwaliteit is daarna wel weer wat te verwachten: de GEMMA expertgroep gaat aan de slag met de informatie zoals die in de Omgevingswet is ontwikkeld. Wilfried is bereid aan de slag te gaan met de het hoofdstuk rond metadata, maar ook dat komt na 4 april. Praktische acties NORA Beheer & Doorontwikkeling (deel van redactieslag): * leeswijzer opnemen in sjabloon Gegevensmanagement zodat je er vanaf elke pagina makkelijk terugkomt * toegepaste MIM-voorbeelden duidelijker markeren als voorbeelden * MIM zelf toevoegen (samen met Dick, Paul Jansen) * werkende versie klaar op 4 april, eventueel daarna verder fijnslijpen - 4 april moet als status 1.0 versie tonen en uitleg hebben over de statu en verder verloop (niet voorschrijvend, reacties welkom maar geen grote review tot we een stap verder zijn) ==Agenda 2019== We hebben even gebrainstormd over de invulling voor de expertgroep-meetings de rest van het jaar. De volgende suggesties zijn genoemd (en kunnen uiteraard worden aangevuld door wie niet aanwezig was): * De 1.0 versie van 4 april kunnen we verder verbeteren door als groep telkens één tekst of onderwerp goed voor te bereiden en te bediscussiëren in een sessie. De keuze welk onderwerp (eerst) kan bijvoorbeeld gebaseerd zijn op de feedback die we krijgen op 4 april en daarna. * Het zou mooi zijn eens vooruit te kijken naar de toekomst zoals die er aan lijkt te komen (algoritmes, AI's, profielen, machine learning) en dat breed te bespreken: ethiek & wenselijkheid, mogelijkheden en risico's en hoe we die toekomst beïnvloeden met de keuzes die we vandaag maken in onze eigen organisaties. * Een verwante vraag is of we de basis inmiddels goed genoeg op orde hebben om die toekomstige mogelijkheden (en die van nu) ook echt aan te kunnen. Als onze eerste ambitie was om de basis van gegevensmanagement neer te zetten, zijn we daar dan al (in onze thema-teksten, in de praktijk van onze eigen organisaties, in onze samenwerking met andere organisaties) of nog niet? Wat moet er nog gebeuren? * Willen we meer met LinkedData? Zo ja wat dan, gaan we dat voorschrijven in bepaalde situaties? * Common ground gaat impact hebben op de architectuur van gegevensmanagement, niet alleen bij de gemeenten maar ook bij ketenpartners (KvK is bijvoorbeeld met de 5 grootste gemeenten bezig om te kijken of ze de verschillende registers die gemeenten gebruiken kunnen beschrijven op een manier die past binnen de Common Ground aanpak). Common Ground is nog niet uitgekristalliseerd, met als gevolg verschillende interpretaties en beelden. Op 4 april is er een sessie aan gewijd door Arnoud Quanjer. Reeuward gaat bovendie kijken of hij een presentatie over de architectuur van Common Ground mag delen met ons. * Welke (types) vragen willen we eigenlijk kunnen beantwoorden vanuit de data in een bronregister, en welke manieren van ontsluiten passen daarbij? Er zijn een hoop verschillende technieken, maar kunnen we helder krijgen welke techniek we waar het beste op los kunnen laten en waarom? Een bronhouder wordt van alle kanten bestookt met (toekomstdromen van) bevragingen, hoe bereid je je daar op voor? Je wilt partijen niet in je hele dataset laten rommelen, zelfs al zou dat ivm AVG et cetera mogen. Het zou mooi zijn het daar eens over te hebben, met ook andere bronhouders aan tafel (Reeuward vraagt via de samenwerking KvK-G5 naar gemeentelijke gegadigden). * Reacties die binnenkomen op de teksten die we gepubliceerd hebben op en na 4 april en discussie of verdere uitwerming vragen. ==Stand van zaken symposiym== Het symposium heeft nu zo'n 140 inschrijvingen (max 200), waarbij het [https://www.vngrealisatie.nl/agenda/symposium-gegevensmanagement-op-donderdag-4-april-2019 programma] deze week gepubliceerd is op vngrealisatie.nl (aanleiding voor een tweede publiciteitsronde via NORA omdat de gemeenten wat oververtegenwoordigd zijn). Nog een paar vragen aan jullie: * Heb jij jezelf al ingeschreven? * Zou je de uitnodiging (nog een keer) binnen je netwerk willen uizetten, nu het programma bekend is? * Als je aanwezig bent en geen sessie leidt, zou je dan voor één sessie wat hand en spandiensten willen verrichten zoals het bedanken van de spreker, in de gaten houden van de tijd en het maken van een foto of twee? Wim maakt een roostertje, waarbij ook de leden van de gemeentelijke expertgroep sessies op zich nemen. * We zoeken nog een of twee partijen die hun Functionaris Gegevensbescherming af willen vaardigen voor een sessie over de AVG een jaar na implementatie. Insteek is een positieve sessie die de continue aandacht voor het onderwerp wil vasthouden. Wim stuurt een beschrijving van wat we zoeken, zodat je je FG gericht kunt benaderen. Graag binnen een week of 10 dagen reageren of het gaat lukken of niet. ==Verdere bijeenkomsten 2019== Het plan is om voor de rest van 2019 vast enkele bijeenkomsten in te plannen en daar direct een locatie bij te zoeken in het midden van het land. Reeuward geeft aan dat er op bepaalde dagen meer ruimte is bij de KvK in Utrecht dan op maandagmorgen - zijn er mensen die bezwaar hebben tegen de woensdag als moment om samen te komen? Marieke stuurt een mailtje rond waarop je dagdelen kunt afstrepen (vaste vrije dag of juist vaste verplichtingen) en maakt op basis van die antwoorden een datumprikker voor meerdere sessies in 2019.  +
Gegevensmanagement/workshop 2 +Tweede bijeenkomst expertgroep Gegevensmanagement  +
Gegevensmanagement/workshop 3 +Derde bijeenkomst expertgroep Gegevensmanagement  +
Gegevensmanagement/workshop 3 oktober +Eerste workshop gegevensmanagement goed bezocht, aanzet voor NORA thema Gegevensmanagement.  +
Gegevenswoordenboek Strafrechtsketen +Gegevenswoordenboek Strafrechtsketen.  +
Gegevenswoordenboek stedelijk waterbeheer (GWSW) +Eenduidige definities van objecten in stedelijk waterbeheer en riolering (zowel ondergronds als bovengronds), met daaraan toegevoegd de beschikbare informatie (kennis) over hun kenmerken en hun onderlinge relaties. De ontologie is in RDF/RDF/OWL-2 (Turtle) opgebouwd, waarbij een uitwisselformaat oroX is gedefinieerd (een eigen specificatie op basis van RDF-relaties). De semantische server waarop de GWSW ontologie en ruim 60 daarop gebaseerde gemeentelijke datasets geserveerd worden, is op meerdere manieren benaderbaar: * [https://data.gwsw.nl data.gwsw.nl] voor bekijken van de ontologie en aanroepen van individuele concepten (bijvoorbeeld [https://data.gwsw.nl/1.5/basis/Rioolput Rioolput] geeft alle informatie van het concept Rioolput) * [https://apps.gwsw.nl apps.gwsw.nl] biedt meerdere toepassingen voor gebruik van de ontologie en GWSW-datasets (validatie, conversies, GIS-presentatie) * [https://sparql.gwsw.nl sparql.gwsw.nl], het SPARQL end point voor queries en machine-machine communicatie * [https://review.gwsw.nl/webprotege review.gwsw.nl/webprotege] voor commentaar via Webprotege Voor specifieke toepassingen zijn ook enkele RESTful API's beschikbaar.  +
Gegevenswoordenboek vreemdelingenketen +Het Gegevenswoordenboek vreemdelingenketen (GVK) wordt beheerd door de redactiecommissie GVK, die bestaat uit vertegenwoordigers van alle ketenpartners. Het doel van het GVK is het ondersteunen van het op een juiste manier interpreteren van informatie die wordt uitgewisseld in en/of gerapporteerd over de vreemdelingenketen. Verschillende interpretaties leiden tot miscommunicatie en dus potentieel tot verkeerd handelen. De website GVK Online is ontwikkeld om het gebruik van het GVK te vergemakkelijken. Zo kunnen gebruikers bijvoorbeeld snel definities van gegevens opzoeken of naar informatie refereren door te 'linken'.  +
Gegevenswoordenboeken justitie Elektronisch BerichtenVerkeer +Gegevenswoordenboeken voor de vreemdelingenketen en strafrechtketen.  +
Geheime authenticatie-informatie (IA) +Toegang tot informatiesystemen door gebruikers en infrastructuurcomponenten, wordt gereguleerd door het toegangsmechanisme: gebruikersidentificatie (bijv. useraccount) en authenticatie (bijv. password). Dit mechanisme moeten voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot informatiesystemen, ontvangen gebruikers authenticatieinformatie. De gebruikers behoren hier vertrouwelijk mee om te gaan.  +
Gemeenschappelijk gegevensgebruik +Gegevens worden in beginsel slechts eenmalig verzameld en vervolgens meervoudig bij uitvoering van verschillende wetten gebruikt.  +
Gemeente Amsterdam +Heeft een [[Stelselpedia]] opgezet om alle begrippen voor de gegevens van hun informatiehuishouding te ontsluiten voor hergebruik.  +
Gemeenten kunnen eigen architectuurmodel downloaden via GEMMA +Gemeenten kunnen eigen architectuurmodel downloaden via GEMMA  +
Geo-informatie +Alle informatie-objecten die een plaatsgebonden kenmerk hebben: gegevens met een directe of indirecte referentie naar een plaats op het aardoppervlak.  +
Geo-standaarden +In Nederland (en ook daarbuiten) zijn veel organisaties betrokken bij het registreren en uitwisselen van informatie met een geografische component. Dat wil zeggen: informatie over objecten die gerelateerd zijn aan een locatie ten opzichte van het aardoppervlakte. Hierbinnen zijn verschillende domeinen te onderkennen, zoals kadastrale informatie en informatie over waterhuishouding. Om te waarborgen dat de geo-informatiehuishouding van deze domeinen goed op elkaar aansluit, en dat informatie tussen domeinen uitgewisseld kan worden, zijn afspraken nodig over de te gebruiken standaarden. De basisset Geo-standaarden voorziet hierin. De set bestaat uit: <ul> <li data-sortkey="I">[[:ISO 19136|ISO 19136]]</li> <li data-sortkey="N">[[:NEN 3610|NEN 3610]]</li> <li data-sortkey="N">[[:Nederlands metadataprofiel op ISO 19115|Nederlands metadataprofiel op ISO 19115]]</li> <li data-sortkey="N">[[:Nederlands profiel op ISO 19142|Nederlands profiel op ISO 19142]]</li> </ul>  +
GeoPackage (voor in de set Geo-Standaarden) +GeoPackage biedt een veel compactere bestandsuitwisseling dan de GML-gebaseerde uitwisselbestanden. In sommige gevallen is het van belang dat het uitwisselformaat validatie mogelijk maakt. In zo’n geval is GML (en de bijbehorende xsd-schema’s) geschikt. In andere gevallen gaat het slechts om het doorgeven van de geografische informatie en zijn de volgende zaken juist meer van belang: performance, bestandsgrootte en ondersteuning in software.  +
Geografische Thesaurus Zorg en Welzijn +De Geografische Thesaurus Zorg en Welzijn bevat de indeling van Nederland in provincies met alle bijbehorende gemeenten en de daarbij behorende plaatsen. De plaatsen zijn te koppelen aan de postcodetabel. Daarnaast bevat de Geografische TZW regionale indelingen zoals GGD-regio’s, veiligheidsregio’s, centrumgemeenten maatschappelijke opvang, AMK-regio’s, arrondissementen enz. Exports kunnen worden ingelezen in informatiesystemen waarin geografische informatie een rol speelt, zoals voor het aangeven van de werkingsgebieden van organisaties in sociale kaarten.  +
Geonovum organiseert op 2 oktober de Open Geodag +Geonovum organiseert op 2 oktober de Open Geodag  +
Gerede twijfel +Er is sprake van gerede twijfel bij een afnemer over de juistheid van een gegeven als er voldaan wordt aan de volgende criteria: :* er is een sterk vermoeden dat een (authentiek) gegeven onjuist is, :* dat vermoeden is gebaseerd op kennis en kunde van de eigen processen en doelgroep van de afnemer (een combinatie van kennis, kunde en gezond verstand), :* de afnemer kent de definitie van dit (authentiek) gegeven. De afnemer moet weten wat de definitie van een gegeven in een basisregistratie is om te kunnen beoordelen of het niet klopt.  +
Gewenste kwaliteit (begrip gegevensmanagement) +alle aspecten van gegevens die voor de afnemer van belang zijn, bijvoorbeeld actualiteit, juistheid of detail, op het niveau dat de afnemer verwacht. Dat kan leiden tot kwaliteit van het hoogste niveau of kwaliteit van het gegeven dat slechts indicatief is als de afnemer dat wenst.  +
Gezamenlijk gegevensgebruik +Gegevens worden in beginsel slechts eenmalig verzameld en vervolgens meervoudig bij de uitvoering van verschillende wetten gebruikt.  +
Governance NORA.jpg +Governance op NORA in schema zoals uitgelegd op de pagina "Beheer en doorontwikkeling NORA"  +
H
HORA - werken onder architectuur binnen het hoger onderwijs +Het hoger onderwijs in Nederland bestaat uit opleidingen aan hogescholen en universiteiten. Een beperkt aantal actoren, maar wel actoren met een behoorlijke mate van vrijheid. Mark de Jong van hogeschool Inholland vertelde ons waarom die partijen er toch voor kozen samen een ketenarchitectuur af te spreken. En hij nam ons mee in het proces van (door-)ontwikkeling: waar ging het snel, waar moeten ze nog aan werken, wat hebben ze er van geleerd voor de toekomst? : → [[media:Hoger Onderwijs Referentie Architectuur.pdf|Hoger Onderwijs Referentie Architectuur (PDF, 2,04 MB)]] [[Afbeelding:HORA zaal geblurd.jpg|thumb|300px|left|alt=Foto van de sessie, zichtbaar zijn ca 15 mensen om een grote ovalen vergadertafel, met aan het verste uiteinde een groot televisiescherm met de powerpointpresentatie. Naast het scherm staat Mark de Jong, de overige deelnemers zijn onherkenbaar gemaakt.]] Reacties uit de zaal: * HORA plaat: wat zit er in de basis, onderste liggende balk zou service management moeten zijn, “ons product is al klaar en voldoet daar helemaal aan” * Zou je naast PSA’s ook niet aan het eind moeten toetsen of alles is meegenomen? Identificeren van technical debt. Is heel belangrijk, maar HORA is beperkt tot referentie architectuur, uitwisseling van best practices. Kan nooit voorschrijvend zijn. * HOSA: Dit gaat veel meer richting beleid, op zich is gezamenlijke inkoop ook al deels belegd in SURF. Dit raakt niet alleen je ICT, ook je onderwijsbeleid. Er zijn een aantal vraagstukken waar HOSA wat in kan betekenen, zie sheet Actuele onderwerpen. Genoemde voorbeelden: ** Afspraken met leveranciers over eigenaarschap studiedata. ** Voorkomen van schaduw administraties, gaan registreren & automatiseren. Hoe stel je de waarheid vast? Dat wordt nu veel zichtbaarder. Er komen nu veel meer definities van de werkelijkheid naar boven. ** Wordt in modellen gegoten, zijn wel complex maar dan kun je wel verschillende werkelijkheden accommoderen. ** Bij de RIO-dag kwamen er 21 verschillende, officieel erkende varianten naar boven. <div style="clear:left"> </div> [[Afbeelding:Mark de Jong.jpg|thumb|left|300px|Spreker Mark de Jong (Inholland)|alt=Foto van Mark de Jong staand naast een scherm met daarop de sheet Overzicht ABHO van de bijgevoegde presentatie. Op de achtergrond een raam dat uitziet op een kantoorgebouw, op de voorgrond een laptop en waterflesje.]] * Hoe leeft dat buiten de architectenwereld? Binnen de instellingen wordt het vooral gebruikt door informatiespecialisten, sommige leveranciers sluiten er actief op aan. Architecten zijn vooral ook de verbinders, de schakel tussen partijen. Vergt ook andere competenties. * Datacentric ontwikkelen. Open onderwijs API, de gedachte is dat die voor alles en nog wat ingezet kan worden maar dan moet er nog wel wat mee gebeuren. * EduCause identificeert internationale trends, die kunnen we op die manier volgen. Zoals Mobile learning en Blockchain. * Governance: je kunt heel veel zaken niet centraal aansturen vanuit OCW, er zijn 9000 instellingen die daarin actief zijn. In sommige ketens kun je wat harder inzetten op standaarden. Je moet vooral op inhoud overtuigen, zo veel mogelijk mensen meenemen. * Denk aan de Belastingdienst, je kunt in portfolio management ook architectuur eisen meegeven, dan moet je wel meer gaan (be)sturen. * Wat is de impact van agile, meer kortcyclische werkwijzen? Die nieuwe methoden kunnen helpen bij meer sneller, flexibeler ontwikkelen. Meer modulair. Architectuur geeft dan nog steeds kaders, ook als je ontwikkelt in scrum teams. Waar ook over nagedacht wordt, is het hoger onderwijs flexibeler te maken (kiezen, zelfsturend) <div style="clear:left"> </div> Wat wil je aan het panel meegeven? * sturing op architectuur vanuit portfolio management, invloed van agile werken. * Hoe toon je de meerwaarde van architectuur aan? De geheimen van architectuur, hoe breng je dat nu verder. * Hoe strak moet je de governance regelen om de samenwerking vorm te geven? Als het te strak wordt, raak je partijen kwijt. <div style="clear:left"> </div>  +
HR/Adressenbestand +Eenmalige of maandelijkse levering met adresgegevens van een door de gebruiker gespecificeerde set bedrijven. Filtering is mogelijk op diverse criteria, waaronder gemeente, postcode, SBIcode. Het data-formaat van dit product is niet geheel handelsregister-compliant (afwijkende notatie BAG adressen) en levert geen BAG-IDs. Het product wordt naar verwachting uitgefaseerd.  +
HR/Dataservice Vestiging +Webservice voor het opvragen van vestigingsgegevens. Twee versies, ‘Vestiging’ en ‘Vestiging in het kort’, de laatste bevat een kleinere gegevensset. * [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-vestiging/ KvK productpagina Dataservice Vestiging] * [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-vestiging-in-het-kort/ KvK productpagina Dataservice Vestiging In het Kort]  +
HR/Dataservice berichten via Digilevering +Als een gebeurtenis plaatsvindt, wordt dit automatisch naar de afnemer gestuurd. Het betreft bijvoorbeeld mutaties over inschrijvingen of vestigingen. Er wordt een STUF-bestand geleverd. Zie [http://www.kvk.nl/over-de-kvk/over-het-handelsregister/gebruik-van-het-handelsregister-door-de-overheid/aansluiten-overheid-op-het-handelsregister/producten/hr-dataservice-berichten/ productinformatie HR Dataservice Berichten via Digilevering op KvK.nl].  +
HR/Dataservice inschrijving +Webservice voor het opvragen van gegevens betreffende de inschrijving van de onderneming, waaronder rechtspersoon, maatschappelijke activiteit, handelsnamen, vestigingen en functionarissen. Twee versies: ‘Inschrijving’ en ‘Inschrijving In het kort’, de laatste bevat een kleinere gegevensset (onder meer geen functionarissen, geen vestigingen). * [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-inschrijving/ KvK productpagina Dataservice Inschrijving] * [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-inschrijving-in-het-kort/ KvK productpagina Dataservice Inschrijving In het kort]  +
HR/Mutatieabonnement +Wekelijkse of maandelijkse levering van gemuteerde gegevens. Noot Kamer van Koophandel: ”Het mutatieabonnement is wel een product van de KvK maar vanwege de actualiteitseis niet als zodanig bruikbaar om aan te sluiten op het stelsel (van basisregistraties).”  +
HR/inzage via webportaal +Gebruiker kan van een handmatig geselecteerd bedrijf een uittreksel KVK als bestand downloaden. De mogelijkheid bestaat daarnaast om gewaarmerkte kopie op papier aan te vragen.  +
HR/inzien +Gebruiker kan handmatig beperkte set gegevens van bedrijven inzien via internet, waaronder naam, KVK-nummer, vestigingsnummer. Bij resultaten worden SBI-code en BAG-ID van het adres (object) niet getoond.  +
HTTPS en HSTS +HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn. De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.  +
Hardenen van servers +De standaardconfiguratie van de meeste besturingssystemen is niet ontworpen met beveiliging als de primaire focus, in plaats daarvan zijn standaardinstellingen meer gericht op bruikbaarheid, communicatie en functionaliteit. Hardening is het proces van het uitschakelen of verwijderen van overbodige en/of niet gebruikte functies, services en accounts, waarmee de beveiliging wordt verbeterd. Ook servers behoren te worden gehardend; alle overbodige en niet gebruikte functies, services en accounts behoren van de server(s) te worden verwijderd of te worden uitgeschakeld.  +
Het gegevenslandschap vanuit de perspectieven van DUO en SBB +[[Afbeelding:Gerald Groot Roessink.png|200px|right|thumb|spreker Gerald Groot Roessink|alt=Foto van Gerald Groot-Roessink]]In de onderwijsketens zijn enorm veel verschillende partijen betrokken, zowel onderwijsinstellingen van klein tot groot als overheidsorganisaties die een bepaalde taak uitvoeren. Omdat ze voor die taak doorgaans gegevens nodig hebben vanuit de onderwijsinstellingen is het belang van een gedeeld gegevenslandschap voor die laatste groep glashelder. We keken in deze sessie mee met de Dienst Uitvoering Onderwijs en de Samenwerkingsorganisatie Beroepsonderwijs Bedrijfsleven: hoe staan zij in het gegevenslandschap? Gerald Groot Roessink en Jaap van den Berg (DUO) belichtten de rol van de Dienst Uitvoering Onderwijs binnen het semantisch landschap onderwijs en de stelselcatalogus Sectorregistraties. Zij illustreerden dit met het gegevenswoordenboek DUO register Instellingen en Opleidingen. : → [[media:Gegevenslandschap vanuit DUO-perspectief.pdf|Gegevenslandschap vanuit DUO-perspectief (PDF, 376 kB)]] <br /><div style="clear:both"> </div> [[Afbeelding:Sam Sevens.jpg|thumb|200px|left|Spreker Sam Sevens (SBB)|alt=Foto van Sam Sevens, alleen gezicht]]Daarna liet Sam Sevens (SBB) het semantisch landschap zien vanuit het perspectief van de Samenwerkingsorganisatie Beroepsonderwijs Bedrijfsleven (SBB). SBB is verantwoordelijk voor de totstandkoming van de kwalificatiedossiers en keuzedelen in het mbo. Dit doet SBB in samenwerking met het onderwijs en het bedrijfsleven. Doordat kwalificatiedossiers op een gestandaardiseerde manier zijn vastgelegd zijn onderdelen van bestaande kwalificatiedossiers geschikt voor hergebruik. Hierdoor is het mbo in staat om maatwerk te leveren. Dit gebeurt ook bij volwassenen die willen bijleren of jongeren die niet in staat zijn om een mbo-diploma te halen. : → [[media:Gegevenslandschap vanuit SBB-perspectief.pdf|Gegevenslandschap vanuit SBB-perspectief (PDF, 726 kB)]]  +
Het verschil in vertrouwensniveau van de zones vervalt bij een rechtstreekse (netwerk)koppeling +Het verschil in vertrouwensniveau van de zones vervalt bij een rechtstreekse (netwerk)koppeling, waardoor het effectieve vertrouwensniveau gelijk is aan het laagste vertrouwensniveau van alle gekoppelde zones. Daardoor kan de vertrouwelijkheid van de informatie in zones met een oorspronkelijk hoger vertrouwensniveau niet meer worden gewaarborgd.  +
Housing Beleid +De ontwikkeling op het gebied van rekencentra heeft de afgelopen jaren niet stil gestaan. Met de opkomst van IT-clouddiensten groeien de mogelijkheden en dalen van de kosten. Het management van de betreffende organisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces. Hierdoor wordt het besluit om voor een bepaald type rekencentrum te kiezen afgewogen op basis van functionaliteit, wet- en regelgeving (beveiliging) en kosten. Bij het opstellen van relevante normen voor de beveiliging van rekencentra moet met de onderstaande objecten rekening gehouden worden. Immers, dit bepaalt de keuze welke type Huisvesting voor rekencentra past bij de organisatie. De volgende typen huisvesting kunnen voor rekencentra onderkend worden en in iedere denkbare samenstelling gecombineerd worden: * Fysieke huisvesting: Een traditioneel rekencentrum, waarbij de huisvesting een fysieke locatie betreft; * Modulaire huisvesting: Een rekencentrum, waarbij de huisvesting is opgebouwd uit mobiele bouwblokken die flexibel ‘gestapeld’ kunnen worden de benodigde capaciteit bereikt is (vrachtcontainers); * virtuele huisvesting: Een rekencentrum in de Cloud, private als public. Afhankelijk van de gemaakte inrichtingskeuze voor de Rekencentra, zijn normen m.b.t. de huisvesting in meer of mindere mate van toepassing. Er moet dus een weloverwogen motivatie voor deze keuze zijn.  +
Housing Uitvoering +De onderwerpen die uit de BIR binnen dit domein een rol spelen zijn dienstverlening, voorzieningen en inrichting.  +
Http://noraonline.nl/wiki/Wetgeving in verbinding/2013-09-11 +{{{Beschrijving}}}  +
Huisvesting Beleid +==Inleiding== In dit hoofdstuk zijn algemene beleidsaspecten en architectuurvoorschriften opgenomen voor Hosting-diensten (applicatie- en infrastructuur-omgeving) waarmee richting wordt gegeven aan de inrichting van de individuele technische domeinen. Met deze algemene beleidsaspecten, zowel vanuit de klant als de vanuit de provider, geeft de hosting-provider aan op welke wijze zij de hosting diensten zullen realiseren. In het algemene beleid zal ook moeten zijn beschreven onder welke voorwaarden processen en informatiesystemen ondergebracht mogen worden in een cloudomgeving. Tevens is beschreven hoe dit beleid op naleving wordt gecontroleerd. ==Onderwerpen== Binnen het beleidsdomein worden normen opgenomen die gerelateerd zijn aan bepaalde onderwerpen. Per onderwerp worden conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van maatregelen. De onderwerpen zijn in eerste instantie afgeleid uit het HRC referentiekader (versie 2006).Hiernaast zijn enkele onderwerpen aangevuld uit BIR, NCSC en Standaard of Goodpractice (ISF). Tabel 1 geeft een overzicht van de uit te werken onderwerpen binnen het Beleidsdomein. ==Verantwoordelijkheden Provider en Klant== In deze paragraaf geven wij per criterium aan hoe de verantwoordelijkheidsverdeling tussen Leverancier/provider van het hoofdrekencentrum (HRC) en de klant moet zijn ingericht in het beleidsdomein. De verantwoordelijkheden voor de klant zijn verder niet in dit document opgenomen, aangezien dit document specifiek bedoeld is voor de Leverancier/provider. ''Informatiebeveiligingsbeleid'': Klant- Stelt een Klant Informatiebeveiligingsbeleid op en stelt deze beschikbaar aan de provider. Leverancier/provider - Zorgt voor het verwerken/implementeren van dit beleid in Hosting-diensten ''Wet- en Regelgeving'': Klant- Legt de noodzakelijke Wet & Regelgeving vast en verwerkt dit in het informatiebeleid. Leverancier/provider - Legt de noodzakelijke Wet & Regelgeving, vanuit de providersoptiek, vast en verwerkt dit in haar Informatiebeveiligingsbeleid. ''Risicomanagement'': Klant- Individuele en gezamenlijke aanpak klant- Provider en afstemming Leverancier/provider - Individuele en gezamenlijke aanpak klant -Provider en afstemming ''Geheimhoudingsovereenkomst'': Klant - Opstellen van geheimhoudingsovereenkomst voor interne- en externe medewerkers Leverancier/provider - Opstellen van geheimhoudingsovereenkomst voor Hosting-diensten. ''Classificatie en Labeling van middelen'': Klant - Opstellen van Classificatie- en Labelingsrichtliijn ten aanzien type gegevens en informatiesystemen. Leverancier/provider - Implementeren van Classificatie en Labelings-richtlijn voor Hosting-diensten ''Hardeningsbeleid'': Klant - Opstellen van een globaal hardeningsbeleid klant Leverancier/provider - Opstellen van hardeningsbeleid Hosting-diensten op principe en maatregelen niveau mede op basis van klant hardeningsbeleid. ''Cryptografiebeleid'': Klant - Opstellen globale Cryptografiebeleid Leverancier/provider - Opstellen en Implementeren van provider cryptografiebeleid rekening houdend met klant cryptogrfiebeleid. ''Informatiebeveiligingsorganisatie'': Klant - Richt een Informatiebeveiligingsorganisatie in om, mede, een juiste regie te kunnen uitvoeren richting Leverancier/provider ten aanzien van Hosting-diensten. Leverancier/provider - Richt een Informatiebeveiligingsorganisatie in voor het implementeren en meten van te leveren functionele en beveiligingsservices. ''HRC architectuur'': Klant - Gebruikt HRC architectuur als noodzakelijke informatie voor het verkrijgen van inzicht in de huidige en toekomstige situaties. Provider - Stelt een HRC architectuur vast waarin samenhang en afhankelijkheden van Hosting-diensten en componenten worden vastgelegd. Hieronder volgt per onderwerp een toelichting op het onderwerp en een overzicht van het criterium (norm), de bijbehorende indicatoren en de set maatregelen. ''link toevoegen''  +
Huisvesting Informatievoorziening Beheersingsorganisatie +De verantwoordelijke stakeholder voor de beheersorganisatie van de Huisvesting Informatievoorziening moet een beheersorganisatiestructuur vastgesteld hebben, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.  +
Huisvesting Informatievoorziening Beleidsdomein +Binnen het Beleid domein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde generieke objecten. Per generiek object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De onderwerpen die binnen dit domein een rol spelen, zijn in onderstaande tabel en afbeelding vermeld. Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Huisvesting - Uit te werken Huisvesting-IV objecten voor het Beleid domein.png|thumb|left|500px|Onderwerpen die binnen het Beleid domein een rol spelen|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> </tr> <tr> <td>B 01</td> <td>Huisvesting Informatievoorziening beleid</td> <td>27002:5.1.1</td> </tr> <tr> <td>B 02</td> <td>Wet en regelgeving</td> <td>27002:18.1.1</td> </tr> <tr> <td>B 03</td> <td>Eigenaarschap</td> <td>27002:8.1.2</td> </tr> <tr> <td>B.04</td>a <td>Certificering</td> <td>UitSIVA analyse, ITIL</td> </tr> <tr> <td>B.05</td> <td>Contract management</td> <td>UitSIVA analyse, ITIL</td> </tr> <tr> <td>B.06</td> <td>Servicelevelmanagement</td> <td>UitSIVA analyse, ITIL</td> </tr> <tr> <td>B 07</td> <td>Interne en externe bedreigingen</td> <td>27002:11.1.4</td> </tr> <tr> <td>B 08</td> <td>Training en awareness</td> <td>27002:7.2.2</td> </tr> <tr> <td>B.09</td> <td>Organisatiestructuur</td> <td>UitSIVA analyse</td> </tr> <caption align="bottom">TABELNAAM</caption></table>  +
Huisvesting Informatievoorziening Controldomein +Binnen het Beleid domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Huisvesting Informatievoorziening beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Huisvesting Informatievoorziening - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|left|500px|Onderwerpen die binnen het Control domein een rol spelen|alt=”Onderwerpen die binnen het Control domein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> </tr> <tr> <td>C.01</td> <td>Controlerichtlijnen Huisvesting Informatievoorziening</td> <td>UitSIVA analyse</td> </tr> <tr> <td>C.02</td> <td>Onderhoudsplan</td> <td>UitSIVA analyse</td> </tr> <tr> <td>C.03</td> <td>Continuïteitbeheer(BCMS)</td> <td>UitSIVA analyse</td> </tr> <tr> <td>C.04</td> <td>Huisvesting Informatievoorziening beheersorganisatie</td> <td>UitSIVA analyse</td> </tr> <caption align="bottom">Voor het Control domein uitgewerkte beveiligingsobjecten</caption></table>  +
Huisvesting Informatievoorziening Uitvoeringsdomein +Binnen het Uitvoeringsdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Huisvesting Informatievoorziening beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen). Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen. [[Afbeelding:Thema Huisvesting - Uit te werken Huisvesting-IV Uitvoeringsobjecten onderverdeeld naar Gebouwen en Voorzieningen.png|thumb|left|500px|Onderwerpen die binnen het Uitvoeringsdomein een rol spelen|alt=”Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”]] <table class="wikitable"> <tr> <th>Nr</th> <th>Objecten</th> <th>Referentie</th> </tr> <tr> <td>U.01</td> <td>Richtlijnen gebieden en ruimten</td> <td>27002:11.1.5</td> </tr> <tr> <td>U.02</td> <td>Bedrijfsmiddelen inventaris</td> <td>27002:8.1.1</td> </tr> <tr> <td>U.03</td> <td>Fysieke zonering</td> <td>27002:11.1.1</td> </tr> <tr> <td>U.04</td> <td>Beveiligingsfaciliteiten ruimten</td> <td>27002:11.1.3</td> </tr> <tr> <td>U.05</td> <td>Nutsvoorzieningen</td> <td>27002:11.2.2</td> </tr> <tr> <td>U.06</td> <td>Apparatuur positionering</td> <td>27002:11.2.1</td> </tr> <tr> <td>U.07</td> <td>Apparatuur onderhoud</td> <td>27002:11.2.4</td> </tr> <tr> <td>U.08</td> <td>Apparatuur verwijdering</td> <td>127002:1.2.7</td> </tr> <tr> <td>U.09</td> <td>Bedrijfsmiddelen verwijdering</td> <td>27002:11.2.5</td> </tr> <tr> <td>U.10</td> <td>Laad-en los locatie</td> <td>27002:11.1.6</td> </tr> <tr> <td>U.11</td> <td>Bekabeling</td> <td>27002:11.2.3</td> </tr> <caption align="bottom">TABELNAAM</caption></table>  +
Huisvesting Informatievoorzieninig Beheersingsarchitectuur +Deze norm is nog in ontwikkeling.  +
Huisvesting informatievoorziening Beleid +Net als bij informatiebeveiliging beleid geldt ook voor andere beleidstypen dat deze twee aspecten kennen: proces en inhoud. Deze twee aspecten zijn beschreven bij het generieke object ‘Informatiebeveiliging beleid’. We zullen hier volstaan met een korte samenvatting. Een Huisvesting Informatievoorziening beleidsdocument beschrijft een specifiek beleid, dat het overkoepelende informatiebeveiliging beleid ondersteunt. Omdat het Huisvestingsbeleid mede bepaald wordt op basis van externe factoren zoals wet- en regelgeving, is periodieke review nodig om vast te stellen of het Huisvestingsbeleid nog voldoet. Het volstaat dus niet om alleen bij ontwikkelingen binnen de organisatie zelf te kijken of het beleid kan of moet worden aangepast. Door dit proces cyclisch in te richten wordt bereikt dat het Huisvestingsbeleid, de ontwikkelingen en de uitvoering steeds op elkaar zijn afgestemd.  +
Huisvesting-IV architectuur +De architectuur van de Huisvesting van IV, geeft overzicht en inzicht in de wijze waarop de gebie-den en objecten zijn- of dienen te worden beveiligd. Architectuur geeft tevens inzicht in de samenhang en de samenwerking van beveiligingsmaatregelen. In de architectuur zijn gemaakte ontwerp en inrichtingskeuzen gedocumenteerd, verantwoord en de gemaakte keuzen zijn onderbouwt. Documentatie speelt tevens een (belangrijke) rol bij het bepalen van de impact van wijzigingen en het voorkomen van ontwerpbeslissingen (fouten). Documentatie moet dan ook na elke wijziging worden bijgewerkt en oude documentatie moet worden gearchiveerd.  +
I
I-NUP Programmaplan Stelsel van Basisregistraties +I-NUP Programmaplan  +
IAM (begrip) +Identity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.  +
IBI (Interprovinciale Baseline Informatiebeveiliging) +Provinciale Baseline op het gebied van Informatiebeveiliging.  +
IFC (Industry Foundation Classes) +Uitwisseling van 3D-bouwinformatiemodellen  +
IMgeo (Informatiemodel Geografie) +IMgeo beschrijft informatie over de buitenruimte - wegen, sloten, groenvoorziening, verkeerslichten - in Nederland. het bevat de gegevenscatalogus van de wettelijk verplichte [[BGT (Basisregistratie Grootschalige Topografie)]] en een uitbreiding daarop.  +
INSPIRE (standaard) +De Europese richtlijn INSPIRE zorgt ervoor dat we milieugerelateerde geo-informatie van alle Europese lidstaten kunnen zoeken, bekijken en downloaden van achter onze computer.  +
IPv6 en IPv4 +Internet Protocol versie 6 (IPv6) maakt communicatie van data tussen ICT-systemen binnen een netwerk, zoals internet, mogelijk. De standaard bepaalt dat ieder ICT-systeem binnen het netwerk een uniek nummer (IP-adres) heeft. De belangrijkste motivatie voor de ontwikkeling van IPv6 was het vergroten van de hoeveelheid beschikbare adressen ten opzichte van de tegenwoordig gangbare voorganger IPv4.  +
ISAAR(CPF) +Internationale Norm voor Archivistische Geautoriseerde Beschrijvingen van Organisaties, Personen en Families. Deze norm verschaft richtlijnen voor het maken van archivistische geautoriseerde beschrijvingen van entiteiten (organisaties, personen en families) betrokken bij de vorming en het beheer van archieven.  +
ISAD(G): General International Standard Archival Description +Algemene Internationale Norm voor Archivistisch Beschrijven, uitgegeven door de ICA.Deze norm verschaft algemene richtlijnen voor het maken van archivistische beschrijvingen. Hij dient te worden gebruikt in combinatie met bestaande nationale normen of als basis voor de ontwikkeling van nationale standaarden.  +
ISO 14721:2012 Space data and information transfer systems - Open archival information system (OAIS) - Reference model +Het ISO 14721:2012 referentiemodel voor een Open Archival Information System (OAIS-referentiemodel) is dé standaard voor iedereen die zich met preservering bezighoudt. De versie van 2012 is [https://public.ccsds.org/pubs/650x0m2.pdf online] beschikbaar.  +
ISO 19109 +Geeft aanwijzingen voor het maken en documenteren van applicatieschema's, inclusief principes voor het definieren van eigenschappen.  +
ISO 19115 +Geographic information - Metadata  +
ISO 19136 +Geographic information -- Geography Markup Language (GML)  +
ISO/IEC 15408 +ISO/IEC 15408 (Evaluation criteria for IT security), ook wel 'Common Criteria' genoemd, is bedoeld als basis voor het evalueren van beveiligingseigenschappen van IT-producten en -systemen. De norm is redelijk abstract en wordt in de Nederlandse publieke sector voor zover bij ons bekend niet breed toegepast. Internationaal kan dat anders liggen. De norm valt uiteen in drie delen: # NEN-ISO/IEC 15408-1:2010 (Correctie 2014-01) [https://www.nen.nl/NEN-Shop/Norm/NENISOIEC-1540812010-Cor.-201401-en.htm Part 1: Introduction and general model] # NEN-ISO/IEC 15408-2:2011 [https://www.nen.nl/NEN-Shop/Norm/NENISOIEC-1540822011-en.htm Part 2: Security functional components] # NEN-ISO/IEC 15408-3:2011 [https://www.nen.nl/NEN-Shop/Norm/NENISOIEC-1540832011-en.htm Part 3: Security assurance components]  +
ISO/TS 19103 +Standaard voor geografische informatie  +
ISOR Norm.png +Icoon voor norm binnen ISOR  +
IT-Grundschutz (Basis für Informationssicherheit) +IT-Grundschutz - de Basis für Informatiebeveiliging. De door BSI ontwikkelde IT-Grundschutz maakt het mogelijk om via een systematische procedure de nodige beveiligingsmaatregelen te identificeren en te implementeren. Het IT-Grundschutz Compendium bevat concrete vereisten, de BSI-normen bieden best practices.  +
Idensys +Idensys is een federatief netwerk voor authenticatie van burgers bij publieke en private organisaties. Het is een Nederlandse invulling van eIDAS. Samen met [[eHerkenning]] maakt het onderdeel uit van het [[Stelsel Elektronische Toegangsdiensten]].  +
Identificatie +Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.  +
In control statement +Een verklaring dat de hoogste leiding ‘in control’ is. ‘In Control’ kan gedefinieerd worden als ‘de wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’. In het statement wordt verwezen naar een set van normen waaraan de mate van beheersing getoetst is. Tevens zijn in het statement de aangetroffen tekortkomingen ten aanzien van de beheersing en de in de processen opgenomen internal controls, de oorzaken ervan en de voorgenomen maatregelen om de knelpunten op te lossen, opgenomen. Oorspronkelijke bron: Drs. A.J.G. Driessen RO CIA en drs. R. Kamstra, "Grip op bedrijfsprocessen met het ‘In Control Statement’"  +
Informatie +Betekenisvolle gegevens.  +
Informatie kan weglekken bij de opening die gemaakt is in de zones en onderweg van de ene naar de andere zone +Informatie kan weglekken bij de opening die gemaakt is in de zones en onderweg van de ene naar de andere zone.  +
Informatie-object +Een op zichzelf staand geheel van gegevens met een eigen identiteit. Bijvoorbeeld: document, databasegegeven, emailbericht (met bijlagen), (zaak) dossier, internetsite (of een deel ervan),foto/afbeelding, geluidopname, wiki, blog enz.  +
Informatiebeveiliging +Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.  +
Informatiebeveiligingsbeleid +Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.  +
Informatiehuishouding +Het totaal aan regels en voorzieningen gericht op de informatiestromen en –opslag of archivering ter ondersteuning van de primaire processen.  +
Informatiemodel Kadaster +Het informatiemodel is de basis waarop specifieke productmodellen worden gebaseerd, waarmee het kadaster informatie uitwisselt met andere organisaties. Deze informatieuitwisseling vindt plaats met berichten in XML-formaat dat gebaseerd is op een XML schema(XSD). De XSD wordt gegenereerd op basis van het klassenmodel dat in de PDF wordt bescheven.  +
Informatiemodel Zaken (RGBZ) 2.0 +Het informatiemodel RGBZ specificeert de gegevens en hun samenhang die gemeenten, daarmee samenwerkende organisaties en hun klanten minimaal nodig hebben om voldoende op de hoogte te zijn van lopende en afgeronde zaken.  +
Informatiesysteem +Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.  +
Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens +Wie persoonsgegevens verstrekt aan een organisatie heeft het recht te weten waarvoor, op welke wijze en door wie deze gegevens worden gebruikt. De organisatie heeft hiertoe een informatieplicht. Deze informatieplicht geldt ook wanneer persoonsgegevens van anderen worden ontvangen.  +
Inlogprocedures +De inlogprocedure omvat het technisch proces waarbij het toegangsbeheersysteem checkt of aan de vereiste inlogeisen wordt voldaan.  +
Inspanning voor handmatige uitvoering van wijzigingen wordt te groot +Inspanning voor handmatige uitvoering van wijzigingen wordt te groot.  +
Integraal (begrip gegevensmanagement) +een benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn.  +
Interactiestrategie +De overheid heeft een interactiestrategie opgesteld om informatie en dienstverlening begrijpelijk en toegankelijk te maken voor burgers en ondernemers. In de interactiestrategie staan de gemeenschappelijke uitgangspunten en afspraken om ervoor te zorgen dat wat mensen verwachten in hun contact met de overheid – vertrouwen, een persoonlijke benadering en gemak – centraal staat. Deze gemeenschappelijke benadering van interactiedenken maakt het mogelijk om een transitie in te zetten richting overheidsinteractie op basis van klantbehoeften.  +
Intern toezicht +Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de Avg, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.  +
Interne en Externe bedreigingen +Naast beveiligingsvoorzieningen ter voorkoming van interne bedreigingen, moet de organisatie ook voorzieningen treffen die de Huisvesting Informatievoorziening beschermen tegen externe bedreigingen, zoals calamiteiten die veroorzaakt worden door de natuur of door menselijk handelen. Natuurlijke calamiteiten kunnen zijn: brand veroorzaakt door bliksem en/of schade aan gebouwen als gevolg van een aardbeving. Calamiteiten kunnen ook worden veroorzaakt door foute handelingen van medewerkers, zoals het niet onderbrengen van kopieën van kritische data op verschillende locaties, of kunnen ontstaan als gevolg van ontwerpfouten of het nalaten van het treffen van beveiligingsmaatregelen.  +
Internetconsultatie HTTPS & HSTS OAuth en ETSI TS +Internetconsultatie HTTPS & HSTS OAuth en ETSI TS  +
Internetconsultatie Open Standaarden PDF/UA, TLS, STOSAG, SHACL, S/MIME, STARTTLS en DANE +Internetconsultatie Open Standaarden PDF/UA, TLS, STOSAG, SHACL, S/MIME, STARTTLS en DANE  +
Internetconsultatie Open Standaarden met einddatum 13 september 2017 +Internetconsultatie Open Standaarden met einddatum 13 september 2017  +
Internetconsultatie Open Standaarden met einddatum 2 september 2019 +Internetconsultatie Open Standaarden met einddatum 2 september 2019  +
Internetconsultatie Open Standaarden met einddatum 23 maart 2018 +Internetconsultatie Open Standaarden met einddatum 23 maart 2018  +
Interoperabiliteit +Interoperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving  +
Interview met Ruben Greve na afronding onderzoek toepasbaarheid van de NORA +Interview met Ruben Greve na afronding onderzoek toepasbaarheid van de NORA  +
J
JCDR (Juriconnect Decentrale Regelgeving) +De standaard biedt een eenduidige manier van verwijzen naar (onderdelen van) decentrale regelgeving waarmee de interoperabiliteit van juridische documenten en systemen die veel verwijzingen kennen naar decentrale regelgeving wordt bevorderd.  +
JPEG binnen Open Document Format +JPEG is een formaat voor afbeeldingen dat gebruik maakt van niet-omkeerbare datacompressie (ofwel lossy compression).  +
Jeugdstrafrecht gegevenswoordenboek +Dit gegevenswoordenboek wordt niet meer beheerd en er is geen werkende link meer van beschikbaar.  +
Justid +Beheert enkele gegevens- en berichtenboeken van de Vreemdelingenketen, Strafrechtketen en het Centraal Documenten Depot (CDD) en zoekt naar mogelijkheden om die beter te kunnen ontsluiten, zoals via Linked Data.