Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
Geen bewerkingssamenvatting
Geen bewerkingssamenvatting
Regel 3: Regel 3:
|Stelling=In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.
|Stelling=In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.
|Cluster=Beveiliging/Administratieve controle}}
|Cluster=Beveiliging/Administratieve controle}}
[[Categorie:normen voor validatie van gegevensverwerking]]
[[Categorie:normen voor administratieve controle]]

Versie van 11 apr 2014 10:22


Beveiliging
Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen.png
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Integriteit

Thema: Beveiliging/Administratieve controle

Eis: In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.

Realiseert

Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen:

  1. Autorisatiebeheersysteem. Voor het beheer van autorisaties wordt zoveel mogelijk gebruik gemaakt van standaard autorisatievoorzieningen of –modules. Indien dit op onderdelen niet is te vermijden (bijvoorbeeld bij gegevensafhankelijke autorisatiemechanismen) worden deze functies als aparte module uitgevoerd.
  2. (Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.
  3. Onweerlegbaarheid juiste ontvanger/verzender. In situaties waar (juridische) geschillen kunnen ontstaan over het al dan niet ontvangen of verzenden van elektronische gegevens van of aan de juiste identiteit wordt gebruik gemaakt van generieke voorzieningen van een Public Key Infrastructuur.
  4. Als encryptie ter borging van vertrouwelijkheid en/of integriteit van gegevens binnen of ten behoeve van een applicatie wordt toegepast, dan gelden hiervoor de implementatierichtlijnen van de beheersmaatregel Encryptie.
  5. Dubbele of ontbrekende bestandsuitwisseling. Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt zeker gesteld dat uitwisseling niet of dubbel plaatsvindt. Een dergelijk filetransfermechanisme is bij voorkeur als generieke voorziening in te richten.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen:



Overgenomen van "https://www.noraonline.nl/index.php?title=Geprogrammeerde_controles_af_te_stemmen_met_generieke_IT-voorzieningen&oldid=8033"