Gebruiker:JDirks/tabellen ISOR HTML: verschil tussen versies

Versie van 1 aug 2018 17:08

BIO Thema Toegangsbeveiliging: Bijlage 4 Aandachtspunten ten aanzien objecten

Objecten	Baseline	Opmerking/Thema
Gedeelde Autorisatie	NIST	Opm: Niet geadresseerd in TB
Sessie	NIST	Opm: Niet geadresseerd in TB
Labelen	NIST, ISO	Opm: Niet geadresseerd in TB
Speciale systeemhulpmiddelen	ISO	Opm: Niet geadresseerd in TB
Toegangsbeveiliging op (programma-) broncode	ISO	Opm: Niet geadresseerd in TB
Draadloze Toegangsverbinding	NIST, ISO	Thema: Werkplek
Remote Access	NIST, ISO	Thema: Werkplek
Externe connectie	NIST, ISO	Thema: Werkplek
Toegang Mobiele Apparatuur	NIST, ISO	Thema: Werkplek
Overige
Verantwoordelijkheden gebruikers ISO 9.3.	Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Inlogprocedures	U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren?
Verantwoordelijkheden gebruikers ISO 9.3	Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Wachtwoordenbeheer U.05	Missen daar niet de rest van de ISO 9.4.3.-indicatoren?
Verwijzingen naar practices opnemen

Tabel 3:Aandachtspunten ten aanzien van objecten

Verbindingsdocument: A2. Generieke toegangsbeveiligingsobjecten

	BIO/ISO Nr.	Generieke objecten
1.	9.1.1.	Toegangsbeveiligingsbeleid
2.	8.1.2.	Eigenaarschap bedrijfsmiddelen
3.	6.1.2.	Beveiligingsfunctie
4.	10.1.1.	Cryptografie
5.	SA	Beveiligingsorganisatie
6.	SA	Toegangsbeveiligingsarchitectuur
7.	9.2.1.	Registratieprocedure
8.	9.2.2.	Toegangsverleningsprocedure
9.	9.4.2.	Inlogprocedure
10.	9.2.6.	Autorisatieproces
11.	9.4.3.	Wachtwoord beheer
12.	9.2.3.	Speciale toegangsrechten beheer
13.	12.1.4.	Functiescheiding
14.	9.2.4.	Geheime authenticatie-informatie (Identificatie & Authenticatie)
15.	9.4.1.	Autorisatie
16.	SA	Toegangsvoorzieningsfaciliteiten
17.	11.1.2.	Fysieke toegangsbeveiliging
18.	SA	Beoordelingsrichtlijnen en procedures
19.	9.2.5.	Beoordeling toegangsrechten
20.	12.4.1.	Gebeurtenissen registreren (Logging en Monitoring)
21.	SA	Beheersingsorganisatie toegangsbeveiliging

ISOR:Tabellen BUC legenda

Tabel 4: Overzicht van de geïdentificeerde objecten uit BIO/ISO

Verbindingsdocument: A4. Cross-reference naar praktijktoepassingen

Nr.	BronBIO/ISO	Domein	Generieke objecten	Best PracticesNORA, NIST, SoGP
1.	9.1.1.	B	Toegangsbeveiligingsbeleid	NIST, SoGP
2.	8.1.2.	B	Eigenaarschap bedrijfsmiddelen	NIST, IBD, SoGP
3.	6.1.2.	B	Beveiligingsfunctie	SoGP, Cobit
4.	10.1.1.	B	Cryptografie	NORA, Themapatroon Encryptie
5.	SA	B	Beveiligingsorganisatie	Aanvulling
6.	SA	B	Toegangsbeveiligingsarchitectuur	NORA, katern beveiliging in samenhang
7.	9.2.1.	U	Registratieprocedure	NORA, Themapatroon IAM
8.	9.2.2.	U	Toegangsverleningsprocedure	ISO
9.	9.4.2.	U	Inlogprocedure	NORA, Patroon Access Management (AM
10.	9.2.6.	U	Autorisatieproces	NORA, Patroon IAM en AM
11.	9.4.3.	U	Wachtwoord beheer	SoGP, ISO, NIST
12.	9.2.3.	U	Speciale toegangsrechten beheer	SoGP, ISO, NIST
13.	12.1.4.	U	Functiescheiding	SoGP, ISO, NIST
14.	9.2.4.	U	Geheime authenticatie-informatie (Id. & Auth.)	NORA, Patroon Identity Management (IM)
15.	9.4.1.	U	Autorisatie	NORA, Patroon IM en AM
16.	SA	U	Toegangsvoorzieningsfaciliteiten	NORA, Patroon Access Management
17 .	11.1.2.	U	Fysieke toegangsbeveiliging	ISO
18.	SA	C	Beoordelingsrichtlijnen en procedures	Aanvulling
19.	9.2.5.	C	Beoordeling toegangsrechten	NORA, Patron Access Management
20.	12.4.1.	C	Gebeurtenissen registreren (Logging en Monitoring)	NORA, Patroon SIEM en Logging
21.	SA	C	Beheersingsorganisatie toegangsbeveiliging	Aanvulling

Tabel 5: Cross-reference naar praktijktoepassingen

Thema Huisvesting: 2.1. Vastgestelde generieke objecten

Nr	Bron: ISO/BIO of alternatief	Generieke objecten Geel: Beleid, Rood: Uitvoering, Blauw: Control
1.	5.1.1.	Huisvestingsbeleid
2.	7.2.2.	Training en Awareness
3.	8.1.2.	Eigenaarschap
4.	18.1.1.	Wet en regelgeving
5.	Uit SIVA analyse	Organisatie
6.	Uit SIVA analyse	Architectuur
7.	idem -> ITIL	Contractmanagement
8.	idem -> ITIL	Servicelevelmanagement
9.	idem -> NIST	Certificering
10.	8.1.1.	Bedrijfsmiddelen inventaris
11.	11.1.1.	Fysieke zonering
12.	11.1.2.	Fysieke toegangsbeveiliging
13.	11.1.3.	Beveiligingsfaciliteit
14.	11.1.4.	Interne en Externe bedreigingen
15.	11.1.5.	Richtlijnen gebieden en ruimten
16.	11.1.6.	Laad- en loslocatie
17.	11.2.1.	Apparatuur positionering
18.	11.2.2.	Nutsvoorzieningen
19.	11.2.3.	Bekabeling
20.	11.2.4.	Apparatuur onderhoud
21.	11.2.5.	Bedrijfsmiddelen verwijdering
22.	11.2.7.	Apparatuur verwijdering
23.	9.2.1.	Registratieprocedure
24.	9.2.4.	Beoordeling Fysieke toegangsrechten
25.	Uit SIVA analyse	Controle richtlijn Huisvesting-IV
26.	idem	Onderhoudsplan
27.	idem	Huisvestingsbeheerorganisatie
28.	idem -> ITIL	Continuïteitsmanagement

Tabel 6: Vastgestelde generieke objecten

Thema Huisvesting: 2.2.Omschrijvingen van generieke objecten

Nr.	ISO	Generiek object	Omschrijving generiekobject gericht op Huisvesting-IV
1.	5.1.1.	Huisvestingsbeleid	Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten.
2.	7.2.2.	Training en Awareness	Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid.
3.	7.1.2.	Eigenaarschap	Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker.
4.	18.1.1.	Wet- en Regelgeving	Door de overheid afgevaardigde Wet- en regelgeving.
5.	X	Huisvestingsorganisatie	Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources.
6.	X	Huisvestingsarchitectuur	De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV).
7.	X	Contractmanagement	Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd.
8.	X	Servicelevelmanagement	Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt.
9.	X	Certificering	Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie.
10.	8.1.1.	Bedrijfsmiddelen inventaris	Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn.
11.	11.1.1.	Fysieke zonering	Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten.
12.	11.1.3.	Beveiligingsfaciliteiten	Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden.
13.	11.1.4.	Interne en Externe bedreigingen	Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten.
14.	11.1.5.	Richtlijnen gebieden en ruimten	Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien.
15.	11.1.6.	Laad- en los locatie	Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen.
16.	11.2.1.	Apparatuur positionering	Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie.
17.	11.2.2.	Nutsvoorzieningen	Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden.
18.	11.2.3.	Bekabeling	Middel voor energietransport van een bron naar een bestemming.
19.	11.2.4.	Apparatuur onderhoud	Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden.
20.	11.2.7.	Apparatuur verwijdering	Het verwijderen van apparatuur volgens een geregistreerde procedure.
21.	11.2.5.	Bedrijfsmiddel verwijdering	Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens).
22.	X	Controlerichtlijn Huisvesting-IV	Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde.
23.	X	Onderhoudsplan	Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden.
24.	X	Huisvestings- beheersorganisatie	De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd.
25.	X	Continuïteitsmanagement	Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen.
	X =	Aanvullend vanuit analyse

Tabel 7: Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten

BIO Thema Huisvesting IV: A.2 Generieke objecten

Nr.	Bron: ISO/BIO of alternatief	Generieke objecten Ge: beleid, Rd uitvoering, Bl: control
1.	5.1.1.	Huisvestingsbeleid
2.	7.2.2.	Training en Awareness
3.	8.1.2.	Eigenaarschap
4.	18.1.1.	Wet en regelgeving
5.	Uit SIVA analyse	Organisatie
6.	Uit SIVA analyse	Architectuur
7.	Uit SIVA analyse -> ITIL	Contractmanagement
8.	Uit SIVA analyse -> ITIL	Servicelevelmanagement
9.	Uit SIVA analyse -> NIST	Certificering
10.	8.1.1.	Bedrijfsmiddelen inventaris
11.	11.1.1.	Fysieke zonering
12.	11.1.2.	Fysieke toegangsbeveiliging
13.	11.1.3.	Beveiligingsfaciliteit
14.	11.1.4.	Interne en Externe bedreigingen
15.	11.1.5.	Richtlijnen gebieden en ruimten
16.	11.1.6.	Laad- en loslocatie
17.	11.2.1.	Apparatuur positionering
18.	11.2.2.	Nutsvoorzieningen
19.	11.2.3.	Bekabeling
20.	11.2.4.	Apparatuur onderhoud
21.	11.2.5.	Bedrijfsmiddelen verwijdering
22.	11.2.7.	Apparatuur verwijdering
23.	9.2.1.	Registratieprocedure
24.	9.2.4.	Beoordeling Fysieke toegangsrechten
25.	Uit SIVA analyse	Controle richtlijn Huisvesting-IV
26.	Uit SIVA analyse	Onderhoudsplan
27.	Uit SIVA analyse	Huisvestingsbeheerorganisatie
28.	Uit SIVA analyse -> ITIL	Continuïteitsmanagement

Tabel 8: Generieke Objecten

BIO Thema Huisvesting IV Verbindingsdocument: A.4 Cross Reference naar praktijktoepassingen

Nr.	Bron:ISO…		Onderwerp	Referentie naar praktijktoepassing(Verwijzing naar brondocumenten)
1.	5.1.1.	B	Huisvestingsbeleid	a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e)
2.	7.2.2.	B	Training en Awareness	a):H4, h), j), i
3.	8.1.2.	B	Eigenaarschap	a):H2 (voor rijk), j), i)
4.	18.1.1.	B	Wet en regelgeving	i)
5.	SIVA	B/U	Organisatie	a):H4
6.	SIVA	B/U	Architectuur	i), Richtlijnen - Rijks vastgoedbedrijf (RVB)
7.	ITIL	B	Contractmanagement	a):H8, f)
8.	ITIL	B	Servicelevelmanagement	f)
9.	NIST	B	Certificering	g)
10.	8.1.1.	U/VZ	Bedrijfsmiddelen inventaris	i)
11.	11.1.1.	U/GB	Fysieke zonering	a): H6, c), e), i)
12.	11.1.2.	U/VZ	Fysieke toegangsbeveiliging	a): H6, b), c), i)
13.	11.1.3.	U/VZ	Beveiligingsfaciliteit	NKBR 5.4 voor sleutelplan
14.	11.1.4.	U	Interne en Externe bedreigingen	i), k)
15.	11.1.5.	U/GB	Richtlijnen gebieden en ruimten	a):geheel document, j), i), o)
16.	11.1.6.	U/GB	Laad- en loslocatie	a):H6
17.	11.2.1.	U/VZ	Apparatuur positionering	a):H7 voor beveiligingsvoorzieningen, i), o)
18.	11.2.2.	U/VZ	Nutsvoorzieningen	i), Richtlijnen - RVB
19.	11.2.3.	U/VZ	Bekabeling	i), o), Richtlijnen - RVB
20.	11.2.4.	U/VZ	Apparatuur onderhoud	i), Richtlijnen - RVB
21.	11.2.5.	U/VZ	Bedrijfsmiddelen verwijdering	i)
22.	11.2.7.	U/VZ	Apparatuur verwijdering	i)
23.	9.2.1.	C	Registratieprocedure	i)
24.	9.2.4.	C	Beo. Fysieke toegangsrechten	i)
25.	SIVA	C	Controle richtlijn Huisvesting-IV	? Richtlijnen - RVB
26.	SIVA	C	Onderhoudsplan	? Richtlijnen - RVB
27.	SIVA	C	Huisvestingsbeheerorganisatie	a):H4
28.	ITIL	C	Continuïteitsmanagement	i), l, m), o), ITIL documentatie

Tabel 9 Cross-reference lijst

BIO Thema Huisvesting IV Verbindingsdocument: A.5 Brondocumenten

de omschrijvingen gebruiken in de pagina's van de brondocumenten, en de tabel opbouwen op basis van die pagina's.
Zie: ISOR/Grondslagen

Nr.	Documentnaam	Versie + datum	Eigenaar	Toelichting
a)	Normenkader Beveiliging Rijkskantoren (NKBR)	2.02-10-2015	ICBRBzK	Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V)
b)	Kader Rijkstoegangs-beleid	1.0 van 11/5/10	ICBR	Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’
c)	Zoneringsmodel rijkskantoren	5-jul-11	BzK	Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB)
d)	Richtlijnen Rijks Vastgoedbedrijf (RVB)	volgt	RVB	Nader te bepalen set van eisen in samenspraak met RVB
e)	NIST PE Physical and Environ-mental Protection (PE)	jun-10	NIST	Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering
f)	NIST MA System Mainenance Policy and Procedures	jun-10	NIST	Ontwerp & toets-criteria voor beheersingsprocedures
g)	NIST CA Security Assessment and Authorization Policy and Procedures	jun-10	NIST	Ontwerp & toets-criteria voor Certificering van organisaties
h)	NIST AT Awaress and Training Policy and Procedures	jun-10	NIST	Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers
i)	NIST CM Configuration Management Policy and Procedures	jun-10	NIST	Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures
j)	Standard of Good Practice (SoGP)	Periodiek	ISF	Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen
k)	KWAS	Periodiek	NCSC	Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit
l)	NEN-ISO-22323	2012	BzK	Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief
m)	NORA patronen voor bedrijfs-continuïteit / BCM	2014	BzK	https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt
n)	BIR 1.0	2011	BzK	BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013
o)	Telecommunication Infrastructure Standard for Data Centers (TIA-942)	Periodiek	ieee802.org /ANSI	Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet

Tabel 10 Bronverwijzing

Gebruiker:JDirks/tabellen ISOR HTML: verschil tussen versies

Versie van 1 aug 2018 17:08

Inhoud

BIO Thema Toegangsbeveiliging: Bijlage 4 Aandachtspunten ten aanzien objecten

Verbindingsdocument: A2. Generieke toegangsbeveiligingsobjecten

Verbindingsdocument: A4. Cross-reference naar praktijktoepassingen

Thema Huisvesting: 2.1. Vastgestelde generieke objecten

Thema Huisvesting: 2.2.Omschrijvingen van generieke objecten

BIO Thema Huisvesting IV: A.2 Generieke objecten

BIO Thema Huisvesting IV Verbindingsdocument: A.4 Cross Reference naar praktijktoepassingen

BIO Thema Huisvesting IV Verbindingsdocument: A.5 Brondocumenten

Navigatiemenu

Gebruiker:JDirks/tabellen ISOR HTML: verschil tussen versies

Versie van 1 aug 2018 17:08

BIO Thema Toegangsbeveiliging: Bijlage 4 Aandachtspunten ten aanzien objecten

Verbindingsdocument: A2. Generieke toegangsbeveiligingsobjecten

Verbindingsdocument: A4. Cross-reference naar praktijktoepassingen

Thema Huisvesting: 2.1. Vastgestelde generieke objecten

Thema Huisvesting: 2.2.Omschrijvingen van generieke objecten

BIO Thema Huisvesting IV: A.2 Generieke objecten

BIO Thema Huisvesting IV Verbindingsdocument: A.4 Cross Reference naar praktijktoepassingen

BIO Thema Huisvesting IV Verbindingsdocument: A.5 Brondocumenten

Navigatiemenu

Zoeken