Gebruiker:JDirks/tabellen ISOR HTML
Naar navigatie springen
Naar zoeken springen
BIO Thema Toegangsbeveiliging: Bijlage 4 Aandachtspunten ten aanzien objecten[bewerken]
| Objecten | Baseline | Opmerking/Thema |
|---|---|---|
| Gedeelde Autorisatie | NIST | Opm: Niet geadresseerd in TB |
| Sessie | NIST | Opm: Niet geadresseerd in TB |
| Labelen | NIST, ISO | Opm: Niet geadresseerd in TB |
| Speciale systeemhulpmiddelen | ISO | Opm: Niet geadresseerd in TB |
| Toegangsbeveiliging op (programma-) broncode | ISO | Opm: Niet geadresseerd in TB |
| Draadloze Toegangsverbinding | NIST, ISO | Thema: Werkplek |
| Remote Access | NIST, ISO | Thema: Werkplek |
| Externe connectie | NIST, ISO | Thema: Werkplek |
| Toegang Mobiele Apparatuur | NIST, ISO | Thema: Werkplek |
| Overige | ||
| Verantwoordelijkheden gebruikers ISO 9.3. | Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! | |
| Inlogprocedures | U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren? | |
| Verantwoordelijkheden gebruikers ISO 9.3 | Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet! | |
| Wachtwoordenbeheer U.05 | Missen daar niet de rest van de ISO 9.4.3.-indicatoren? | |
| Verwijzingen naar practices opnemen | ||
Tabel 3:Aandachtspunten ten aanzien van objecten
Verbindingsdocument: A2. Generieke toegangsbeveiligingsobjecten[bewerken]
| BIO/ISO Nr. | Generieke objecten | |
|---|---|---|
| 1. | 9.1.1. | Toegangsbeveiligingsbeleid |
| 2. | 8.1.2. | Eigenaarschap bedrijfsmiddelen |
| 3. | 6.1.2. | Beveiligingsfunctie |
| 4. | 10.1.1. | Cryptografie |
| 5. | SA | Beveiligingsorganisatie |
| 6. | SA | Toegangsbeveiligingsarchitectuur |
| 7. | 9.2.1. | Registratieprocedure |
| 8. | 9.2.2. | Toegangsverleningsprocedure |
| 9. | 9.4.2. | Inlogprocedure |
| 10. | 9.2.6. | Autorisatieproces |
| 11. | 9.4.3. | Wachtwoord beheer |
| 12. | 9.2.3. | Speciale toegangsrechten beheer |
| 13. | 12.1.4. | Functiescheiding |
| 14. | 9.2.4. | Geheime authenticatie-informatie (Identificatie & Authenticatie) |
| 15. | 9.4.1. | Autorisatie |
| 16. | SA | Toegangsvoorzieningsfaciliteiten |
| 17. | 11.1.2. | Fysieke toegangsbeveiliging |
| 18. | SA | Beoordelingsrichtlijnen en procedures |
| 19. | 9.2.5. | Beoordeling toegangsrechten |
| 20. | 12.4.1. | Gebeurtenissen registreren (Logging en Monitoring) |
| 21. | SA | Beheersingsorganisatie toegangsbeveiliging |
Tabel 4: Overzicht van de geïdentificeerde objecten uit BIO/ISO
Verbindingsdocument: A4. Cross-reference naar praktijktoepassingen[bewerken]
| Nr. | BronBIO/ISO | Domein | Generieke objecten | Best PracticesNORA, NIST, SoGP |
|---|---|---|---|---|
| 1. | 9.1.1. | B | Toegangsbeveiligingsbeleid | NIST, SoGP |
| 2. | 8.1.2. | B | Eigenaarschap bedrijfsmiddelen | NIST, IBD, SoGP |
| 3. | 6.1.2. | B | Beveiligingsfunctie | SoGP, Cobit |
| 4. | 10.1.1. | B | Cryptografie | NORA, Themapatroon Encryptie |
| 5. | SA | B | Beveiligingsorganisatie | Aanvulling |
| 6. | SA | B | Toegangsbeveiligingsarchitectuur | NORA, katern beveiliging in samenhang |
| 7. | 9.2.1. | U | Registratieprocedure | NORA, Themapatroon IAM |
| 8. | 9.2.2. | U | Toegangsverleningsprocedure | ISO |
| 9. | 9.4.2. | U | Inlogprocedure | NORA, Patroon Access Management (AM |
| 10. | 9.2.6. | U | Autorisatieproces | NORA, Patroon IAM en AM |
| 11. | 9.4.3. | U | Wachtwoord beheer | SoGP, ISO, NIST |
| 12. | 9.2.3. | U | Speciale toegangsrechten beheer | SoGP, ISO, NIST |
| 13. | 12.1.4. | U | Functiescheiding | SoGP, ISO, NIST |
| 14. | 9.2.4. | U | Geheime authenticatie-informatie (Id. & Auth.) | NORA, Patroon Identity Management (IM) |
| 15. | 9.4.1. | U | Autorisatie | NORA, Patroon IM en AM |
| 16. | SA | U | Toegangsvoorzieningsfaciliteiten | NORA, Patroon Access Management |
| 17 . | 11.1.2. | U | Fysieke toegangsbeveiliging | ISO |
| 18. | SA | C | Beoordelingsrichtlijnen en procedures | Aanvulling |
| 19. | 9.2.5. | C | Beoordeling toegangsrechten | NORA, Patron Access Management |
| 20. | 12.4.1. | C | Gebeurtenissen registreren (Logging en Monitoring) | NORA, Patroon SIEM en Logging |
| 21. | SA | C | Beheersingsorganisatie toegangsbeveiliging | Aanvulling |
Tabel 5: Cross-reference naar praktijktoepassingen
Thema Huisvesting: 2.1. Vastgestelde generieke objecten[bewerken]
| Nr | Bron: ISO/BIO of alternatief | Generieke objecten
Geel: Beleid, Rood: Uitvoering, Blauw: Control |
| 1. | 5.1.1. | Huisvestingsbeleid |
| 2. | 7.2.2. | Training en Awareness |
| 3. | 8.1.2. | Eigenaarschap |
| 4. | 18.1.1. | Wet en regelgeving |
| 5. | Uit SIVA analyse | Organisatie |
| 6. | Uit SIVA analyse | Architectuur |
| 7. | idem -> ITIL | Contractmanagement |
| 8. | idem -> ITIL | Servicelevelmanagement |
| 9. | idem -> NIST | Certificering |
| 10. | 8.1.1. | Bedrijfsmiddelen inventaris |
| 11. | 11.1.1. | Fysieke zonering |
| 12. | 11.1.2. | Fysieke toegangsbeveiliging |
| 13. | 11.1.3. | Beveiligingsfaciliteit |
| 14. | 11.1.4. | Interne en Externe bedreigingen |
| 15. | 11.1.5. | Richtlijnen gebieden en ruimten |
| 16. | 11.1.6. | Laad- en loslocatie |
| 17. | 11.2.1. | Apparatuur positionering |
| 18. | 11.2.2. | Nutsvoorzieningen |
| 19. | 11.2.3. | Bekabeling |
| 20. | 11.2.4. | Apparatuur onderhoud |
| 21. | 11.2.5. | Bedrijfsmiddelen verwijdering |
| 22. | 11.2.7. | Apparatuur verwijdering |
| 23. | 9.2.1. | Registratieprocedure |
| 24. | 9.2.4. | Beoordeling Fysieke toegangsrechten |
| 25. | Uit SIVA analyse | Controle richtlijn Huisvesting-IV |
| 26. | idem | Onderhoudsplan |
| 27. | idem | Huisvestingsbeheerorganisatie |
| 28. | idem -> ITIL | Continuïteitsmanagement |
Tabel 6: Vastgestelde generieke objecten
Thema Huisvesting: 2.2.Omschrijvingen van generieke objecten[bewerken]
| Nr. | ISO | Generiek object | Omschrijving generiekobject gericht op Huisvesting-IV |
| 1. | 5.1.1. | Huisvestingsbeleid | Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten. |
| 2. | 7.2.2. | Training en Awareness | Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid. |
| 3. | 7.1.2. | Eigenaarschap | Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker. |
| 4. | 18.1.1. | Wet- en Regelgeving | Door de overheid afgevaardigde Wet- en regelgeving. |
| 5. | X | Huisvestingsorganisatie | Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources. |
| 6. | X | Huisvestingsarchitectuur | De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV). |
| 7. | X | Contractmanagement | Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd. |
| 8. | X | Servicelevelmanagement | Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt. |
| 9. | X | Certificering | Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie. |
| 10. | 8.1.1. | Bedrijfsmiddelen inventaris | Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn. |
| 11. | 11.1.1. | Fysieke zonering | Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten. |
| 12. | 11.1.3. | Beveiligingsfaciliteiten | Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden. |
| 13. | 11.1.4. | Interne en Externe bedreigingen | Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten. |
| 14. | 11.1.5. | Richtlijnen gebieden en ruimten | Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien. |
| 15. | 11.1.6. | Laad- en los locatie | Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen. |
| 16. | 11.2.1. | Apparatuur positionering | Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie. |
| 17. | 11.2.2. | Nutsvoorzieningen | Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden. |
| 18. | 11.2.3. | Bekabeling | Middel voor energietransport van een bron naar een bestemming. |
| 19. | 11.2.4. | Apparatuur onderhoud | Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden. |
| 20. | 11.2.7. | Apparatuur verwijdering | Het verwijderen van apparatuur volgens een geregistreerde procedure. |
| 21. | 11.2.5. | Bedrijfsmiddel verwijdering | Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens). |
| 22. | X | Controlerichtlijn Huisvesting-IV | Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde. |
| 23. | X | Onderhoudsplan | Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden. |
| 24. | X | Huisvestings- beheersorganisatie | De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd. |
| 25. | X | Continuïteitsmanagement | Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen. |
| X = | Aanvullend vanuit analyse |
Tabel 7: Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten
BIO Thema Huisvesting IV: A.2 Generieke objecten[bewerken]
| Nr. | Bron: ISO/BIO of alternatief | Generieke objecten Ge: beleid, Rd uitvoering, Bl: control |
|---|---|---|
| 1. | 5.1.1. | Huisvestingsbeleid |
| 2. | 7.2.2. | Training en Awareness |
| 3. | 8.1.2. | Eigenaarschap |
| 4. | 18.1.1. | Wet en regelgeving |
| 5. | Uit SIVA analyse | Organisatie |
| 6. | Uit SIVA analyse | Architectuur |
| 7. | Uit SIVA analyse -> ITIL | Contractmanagement |
| 8. | Uit SIVA analyse -> ITIL | Servicelevelmanagement |
| 9. | Uit SIVA analyse -> NIST | Certificering |
| 10. | 8.1.1. | Bedrijfsmiddelen inventaris |
| 11. | 11.1.1. | Fysieke zonering |
| 12. | 11.1.2. | Fysieke toegangsbeveiliging |
| 13. | 11.1.3. | Beveiligingsfaciliteit |
| 14. | 11.1.4. | Interne en Externe bedreigingen |
| 15. | 11.1.5. | Richtlijnen gebieden en ruimten |
| 16. | 11.1.6. | Laad- en loslocatie |
| 17. | 11.2.1. | Apparatuur positionering |
| 18. | 11.2.2. | Nutsvoorzieningen |
| 19. | 11.2.3. | Bekabeling |
| 20. | 11.2.4. | Apparatuur onderhoud |
| 21. | 11.2.5. | Bedrijfsmiddelen verwijdering |
| 22. | 11.2.7. | Apparatuur verwijdering |
| 23. | 9.2.1. | Registratieprocedure |
| 24. | 9.2.4. | Beoordeling Fysieke toegangsrechten |
| 25. | Uit SIVA analyse | Controle richtlijn Huisvesting-IV |
| 26. | Uit SIVA analyse | Onderhoudsplan |
| 27. | Uit SIVA analyse | Huisvestingsbeheerorganisatie |
| 28. | Uit SIVA analyse -> ITIL | Continuïteitsmanagement |
Tabel 8: Generieke Objecten
BIO Thema Huisvesting IV Verbindingsdocument: A.4 Cross Reference naar praktijktoepassingen[bewerken]
| Nr. | Bron:ISO… | Onderwerp | Referentie naar praktijktoepassing(Verwijzing naar brondocumenten) | ||
| 1. | 5.1.1. | B | Huisvestingsbeleid | a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e) | |
| 2. | 7.2.2. | B | Training en Awareness | a):H4, h), j), i | |
| 3. | 8.1.2. | B | Eigenaarschap | a):H2 (voor rijk), j), i) | |
| 4. | 18.1.1. | B | Wet en regelgeving | i) | |
| 5. | SIVA | B/U | Organisatie | a):H4 | |
| 6. | SIVA | B/U | Architectuur | i), Richtlijnen - Rijks vastgoedbedrijf (RVB) | |
| 7. | ITIL | B | Contractmanagement | a):H8, f) | |
| 8. | ITIL | B | Servicelevelmanagement | f) | |
| 9. | NIST | B | Certificering | g) | |
| 10. | 8.1.1. | U/VZ | Bedrijfsmiddelen inventaris | i) | |
| 11. | 11.1.1. | U/GB | Fysieke zonering | a): H6, c), e), i) | |
| 12. | 11.1.2. | U/VZ | Fysieke toegangsbeveiliging | a): H6, b), c), i) | |
| 13. | 11.1.3. | U/VZ | Beveiligingsfaciliteit | NKBR 5.4 voor sleutelplan | |
| 14. | 11.1.4. | U | Interne en Externe bedreigingen | i), k) | |
| 15. | 11.1.5. | U/GB | Richtlijnen gebieden en ruimten | a):geheel document, j), i), o) | |
| 16. | 11.1.6. | U/GB | Laad- en loslocatie | a):H6 | |
| 17. | 11.2.1. | U/VZ | Apparatuur positionering | a):H7 voor beveiligingsvoorzieningen, i), o) | |
| 18. | 11.2.2. | U/VZ | Nutsvoorzieningen | i), Richtlijnen - RVB | |
| 19. | 11.2.3. | U/VZ | Bekabeling | i), o), Richtlijnen - RVB | |
| 20. | 11.2.4. | U/VZ | Apparatuur onderhoud | i), Richtlijnen - RVB | |
| 21. | 11.2.5. | U/VZ | Bedrijfsmiddelen verwijdering | i) | |
| 22. | 11.2.7. | U/VZ | Apparatuur verwijdering | i) | |
| 23. | 9.2.1. | C | Registratieprocedure | i) | |
| 24. | 9.2.4. | C | Beo. Fysieke toegangsrechten | i) | |
| 25. | SIVA | C | Controle richtlijn Huisvesting-IV | ? Richtlijnen - RVB | |
| 26. | SIVA | C | Onderhoudsplan | ? Richtlijnen - RVB | |
| 27. | SIVA | C | Huisvestingsbeheerorganisatie | a):H4 | |
| 28. | ITIL | C | Continuïteitsmanagement | i), l, m), o), ITIL documentatie |
Tabel 9 Cross-reference lijst
BIO Thema Huisvesting IV Verbindingsdocument: A.5 Brondocumenten[bewerken]
- de omschrijvingen gebruiken in de pagina's van de brondocumenten, en de tabel opbouwen op basis van die pagina's.
- Zie: ISOR/Grondslagen
| Nr. | Documentnaam | Versie + datum | Eigenaar | Toelichting |
| a) | Normenkader Beveiliging Rijkskantoren (NKBR) | 2.02-10-2015 | ICBRBzK | Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V) |
| b) | Kader Rijkstoegangs-beleid | 1.0 van 11/5/10 | ICBR | Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’ |
| c) | Zoneringsmodel rijkskantoren | 5-jul-11 | BzK | Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB) |
| d) | Richtlijnen Rijks Vastgoedbedrijf (RVB) | volgt | RVB | Nader te bepalen set van eisen in samenspraak met RVB |
| e) | NIST PE Physical and Environ-mental Protection (PE) | jun-10 | NIST | Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering |
| f) | NIST MA System Mainenance Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor beheersingsprocedures |
| g) | NIST CA Security Assessment and Authorization Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor Certificering van organisaties |
| h) | NIST AT Awaress and Training Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers |
| i) | NIST CM Configuration Management Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures |
| j) | Standard of Good Practice (SoGP) | Periodiek | ISF | Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen |
| k) | KWAS | Periodiek | NCSC | Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit |
| l) | NEN-ISO-22323 | 2012 | BzK | Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief |
| m) | NORA patronen voor bedrijfs-continuïteit / BCM | 2014 | BzK | https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt |
| n) | BIR 1.0 | 2011 | BzK | BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013 |
| o) | Telecommunication Infrastructure Standard for Data Centers (TIA-942) | Periodiek | ieee802.org /ANSI | Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet |
Tabel 10 Bronverwijzing