Eigenschap:Toelichting

Dit gaat over of er waarden zijn geregistreerd voor een specifiek attribuut. In een informatiemodel is bij attributen typisch aangegeven in hoeverre ze verplicht zijn. Dit kwaliteitsattribuut gaat dus met name over die attributen.  +

eIDAS hanteert de beschrijving:<br> Een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt. De beschrijving van de NORA is dus breder dan die van eIDAS omdat ook sprake is van authenticatie bij het fysiek verifiëren van de identiteit. Bijvoorbeeld door de identiteit van de persoon in kwestie te verifiëren aan de hand van een paspoort. Het is dus niet noodzakelijk een digitaal (elektronisch) proces.  +

Zie beschrijving in de Wdo: [https://zoek.officielebekendmakingen.nl/kst-34972-A.html#d17e534 Wdo - Authenticatiedienst]  +

Gebaseerd op de concept regeling nadere eisen toelating identificatiemiddelen WDO  +

Hierbij moet gedacht worden aan bv paspoort, rijbewijs of ID-kaart. [https://www.begrippenxl.nl/archixl/nl/page/Authenticatiemiddel Forum Standaardisatie]:<br> Een combinatie van bezit, kennis en eigenschappen, die persoonsgebonden is, die een bepaalde persoon uniek aanduidt en gebruikt kan worden voor authenticatie bij een online dienst.<br> Aan de hand van de verificatie van bezit, kennis en eigenschappen kan de geclaimde identiteit op een bepaald betrouwbaarheidsniveau worden bewezen.  +

Zie [https://afsprakenstelsel.etoegang.nl/display/as/Authenticatieverklaring Afsprakenstelsel.etoegang.nl - Authenticatieverklaring]  +

Dit gaat erover of gegevens echt afkomstig zijn van de bron die je verwacht. Authenticiteit kan bijvoorbeeld worden aangetoond door de bewerker of verzender een digitale handtekening toe te laten voegen aan een gegeven. Niet te verwarren met authenticiteit in de betekenis dat ze een wettelijk verplicht gebruik kennen.  +

Voor een authentiek gegeven geldt dat: * het een hoge kwaliteit heeft die met expliciete garanties geborgd is; * het vitaal is of veelvuldig benodigd is, gezien vanuit het geheel van wettelijke taken; * er bij wet één officieel erkende registratie voor is aangemerkt; * het authentieke gegeven in die erkende registratie verplicht gebruikt wordt door alle overheidsinstanties. De bovengenoemde definitie is oorspronkelijk afkomstig uit de Kadasterwet.  +

Zie [https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52021PC0281 e-IDAS - Authentieke bron] De NORA kent nu het begrip [[Bronregistratie]]<br> Bij de introductie van het begrip Authentieke bron zou het begrip Bronregistratie in principe kunnen vervallen of als synoniem worden gezien.<br> Echter, de definitie van e-IDAS beperkt zich tot informatie over een natuurlijke- of rechtspersoon. Dat is in de context van e-IDAS wellicht voldoende, maar het is niet voldoende voor het bredere domein van overheidsdienstverlening of de informatievoorziening binnen onze (wereldwijde) samenleving.  +

De NORA expertgroep IAM verstaat onder autorisatie:<br> Het proces om te beslissen of een Entiteit op grond van een Authenticatiemiddel, Identiteitsverklaring, of een Machtiging, toegang krijgt tot een Resource. <br> De beslissing wordt mede gebaseerd op de bij de resource behorende Autorisatieregels en omgevingsfactoren. Voorbeelden van omgevingsfactoren zijn het moment op de dag en de locatie.<br> Vaak is er een splitsing in een functie om de autorisatie-beslissing te nemen (ook wel genoemd: PDP = Policy Decision Point) wat resulteert in een autorisatie-beslissing (soms ook toegangstoken genoemd) en een functie om deze beslissing af te dwingen op basis van de autorisatie-beslissing (ook wel genoemd: PEP = Policy Enforcement Point). De beslissingsfunctie (PDP) functie kan zowel binnen een dienst als daarbuiten worden uitgevoerd; het afdwingen van de beslissing (PEP) wordt noodzakelijkerwijs altijd binnen de dienst uitgevoerd. The World Bank (TWB) verstaat onder autorisatie:<br> Bepalen of een persoon de bevoegdheden bezit die nodig zijn om toegang te krijgen tot de gevraagde dienst. Zie [https://id4d.worldbank.org/guide/id-101-basic-concepts-0 ‘basic roles of ID systems’ uit de Practicioner’s Guide van TWB]<br> Beschouwing:<br> Bij de beschrijving van The World Bank wordt gesproken over persoon i.p.v. entiteit. Bij IAM wordt het meer omvattende entiteit gebruikt. Bij NORA wordt dat in het midden gelaten, maar is entiteit wel impliciet.<br> Verder wordt gesproken over toegang tot geautomatiseerde functies en/of gegevens in ICT systemen (NORA), tot Resources (IAM) en tot diensten (TWB).  +

De Basisregistratie Adressen en Gebouwen (BAG) is de registratie waarin gemeentelijke basisgegevens over alle gebouwen en adressen in Nederland zijn verzameld. De BAG is gebaseerd op de Wet basisregistraties adressen en gebouwen. Gemeenten zijn bronhouder van de gebouw- en adresgegevens. Alle bestuursorganen zijn verplicht om vanaf 1 juli 2011 gebruik te maken van de BAG bij de uitvoering van hun publiekrechtelijke taken.  +

Het doel van de BGT is dat de hele overheid gebruik maakt van dezelfde basisset grootschalige topografie van Nederland. Topografie is de beschrijving van de fysieke werkelijkheid. Dus de dingen die in het terrein fysiek aanwezig zijn.  +

De BIG bestaat uit twee onderdelen: * De [[media:Strategische-Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-BIG.pdf|strategische BIG (Strategische Baseline Informatiebeveiliging Gemeenten) (PDF, 814 kB)]] De Strategische BIG kan gezien worden als de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. * De [[media:Tactische-Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-BIG.pdf|tactische BIG (Tactische Baseline Informatiebeveiliging Gemeenten) (PDF, 2,65 MB)]] De Tactische BIG is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze Tactische BIG is een richtlijn die een totaalpakket aan informatiebeveiligingscontrols en -maatregelen omvat die voor iedere gemeente noodzakelijk is om te implementeren.  +

De Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) voor het eerst vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De Baseline Informatiebeveiliging Overheid is per 1 januari 2019 verplicht en vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, BIR en IBI. De BIO is: * een gemeenschappelijk normenkader, gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27001]]/[[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|2]] voor de beveiliging van de informatie(systemen) van de overheid; * een afgeleide van de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|BIR (Baseline Informatiebeveiliging Rijksdienst) 2017]]; * een concretisering van een aantal normen tot verplichte overheidsmaatregelen. Elke bestuurslaag heeft besloten de bestaande eigen baseline voor informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de [[BIG (Baseline Informatiebeveiliging Gemeenten)|BIG (Baseline Informatiebeveiliging Gemeenten)]], [[BIR]], [[BIWA (Baseline Informatiebeveiliging Waterschappen)|BIWA (Baseline Informatiebeveiliging Waterschappen)]] en [[IBI (Interprovinciale Baseline Informatiebeveiliging)|IBI (Interprovinciale Baseline Informatiebeveiliging)]]. Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen. Een actuele PDF-versie van de BIO is ontsloten op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip-overheid.nl] en [https://bio-overheid.nl/category/producten#BIO bio-overheid.nl].<br> Een actuele versie van de Excel-variant, een overzicht met alleen BIO-maatregelen en BIO-controls is te bekijken en downloaden op [https://bio-overheid.nl/category/producten#Excelversie bio-overheid.nl]. Daar zijn ook de [https://bio-overheid.nl/category/producten#FAQ/ meest gestelde vragen over de BIO] te raadplegen. ==Hulpbronnen voor BIO-toepassing in de praktijk== Het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] ontwikkelt in samenwerking met het [[BZK (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties)|ministerie van BZK]] de zogenaamde BIO Thema-uitwerkingen, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. BIO Thema-uitwerkingen worden ontsloten die op NORA online in de [[ISOR (Information Security Object Repository)]]. Meer informatie en documenten van het CIP delen zij op de websites van CIP-overheid en BIO-overheid en in het forum op Pleio (vereist lidmaatschap): : → [https://cip-overheid.nl/ cip-overheid.nl] : → [https://bio-overheid.nl/ bio-overheid.nl] : → [https://cip.pleio.nl/ cip.pleio.nl] Ook de [[IBD (Informatiebeveiligingsdienst)|Informatiebeveiligingsdienst (IBD)]], de sectorale CERT/CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO. : → [https://www.informatiebeveiligingsdienst.nl/producten/ informatiebeveiligingsdienst.nl/producten/]  

# [[BIO Thema Applicatieontwikkeling/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Applicatieontwikkeling/Identificatie applicatieontwikkeling objecten|Beveiligingsobjecten applicatieontwikkeling]] (specifieke inleiding) # [[BIO Thema Applicatieontwikkeling/Geïdentificeerde objecten ingedeeld naar IFGS|Objecten ingedeeld naar invalshoeken]] (toelichting) # [[BIO Thema Applicatieontwikkeling/IFGS gekoppeld aan het V-model|Invalshoeken gekoppeld aan het V-model]] (toelichting)   +

# [[BIO Thema Clouddiensten/Voorwoord|Voorwoord]] # [[BIO Thema Clouddiensten/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Clouddiensten/Risico's in relatie met clouddiensten|Risico's in relatie tot clouddiensten]] (specifieke inleiding) # [[BIO Thema Clouddiensten/Verantwoording aanpak|Verantwoording]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Cloudbeveiligingsobjecten in het beleidsdomein]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het uitvoeringsaspect|Cloudbeveiligingsobjecten in het uitvoeringsdomein]] (toelichting) # [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect|Cloudbeveiligingsobjecten in het control-domein]] (toelichting) # [[BIO Thema Clouddiensten/Beslisbomen voor risicobeoordeling IV-diensten|Beslisboom voor risicobeoordeling IV-diensten]] (toelichting) # [[BIO Thema Clouddiensten/Standpunt AIVD en beleidsverkenning BZK|Samenvatting AIVD-standpunt en beleidsverkenning BZK]] (toelichting)   +

# [[BIO Thema Communicatievoorzieningen/Inleiding|Inleiding]]   +

# [[BIO Thema Huisvesting Informatievoorziening/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Huisvesting Informatievoorziening/Objecten voor Huisvesting-IV|Huisvesting IV-objecten]] (specifieke inleiding)   +

# [[BIO Thema Middleware/Inleiding|Inleiding]] # [[BIO Thema Middleware/Use case Interne applicatie-integratie|Use case Interne applicatie-integratie]] # [[BIO Thema Middleware/Use case Applicaties met integratiefuncties|Use case Applicaties met integratiefuncties]] # [[BIO Thema Middleware/Use case Gedelegeerde integratiefuncties|Use case Gedelegeerde integratiefuncties]] # [[BIO Thema Middleware/Use case End-to-end applicatie-integratie|Use case End-to-end applicatie-integratie]] # [[BIO Thema Middleware/Use case Enterprise Service Bus (ESB)|Use case Enterprise Service Bus (ESB)]] # [[BIO Thema Middleware/Use case End-to-End integratie met API gateway|Use case End-to-End integratie met API gateway]] # [[BIO Thema Middleware/Gespecialiseerde API gateway-toepassing|Gespecialiseerde API gateway-toepassing]]   +

# [[BIO Thema Serverplatform/Inleiding|Inleiding]] (algemene inleiding) # [[BIO Thema Serverplatform/Objecten serverplatform|Beveiligingsobjecten serverplatform]] (specifieke inleiding)   +