Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
kGeen bewerkingssamenvatting
k (Tekst vervangen - '}}' door '}} ')
 
(13 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{concept|}}
{{Beheersmaatregelen
{{Beheersmaatregelen
|Realiseert=Contoleerbaarheid}}
|Realiseert=Integriteit
==Beheersmaatregel==
|Stelling=In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.
[[Stelling::In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.]]
|Cluster=Beveiliging/Administratieve controle
|bron=BIR (Baseline Informatiebeveiliging Rijksdienst), NEN-ISO/IEC 27001
|specificatie bron=BIR/ISO 27001:2005 14.4, 12.5, 12.6, ISO 27001:2013 14.1}}


==Toelichting en afbakening==
[[Categorie:normen voor administratieve controle]]
[[Toelichting::Deze doelstelling zal doorgaans alleen volledig haalbaar zijn bij maatwerkapplicaties. Bij standaard applicaties/programmapakketten worden dergelijke functies meestal meegeleverd en zijn niet uit te schakelen en te vervangen door eigen generieke functies, hooguit daarmee te synchroniseren. Bovendien kunnen dan tevens andere generieke IB-functies aan de orde zijn.]]
 
==Implementatierichtlijnen==
(niet uitputtend)
{{#ask:[[Categorie:Implementatierichtlijnen]][[Eigenaar-pagina::Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen]]
|?Beschrijving=
|format=ol
|mainlabel=-
|sort=ID
}}
{{Beheersmaatregelen staart}}

Huidige versie van 15 jun 2017 om 11:51


Beveiliging
Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen.png
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Integriteit

Thema: Beveiliging/Administratieve controle
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 14.4, 12.5, 12.6, ISO 27001:2013 14.1

Eis: In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.

Realiseert

Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen:

  1. Autorisatiebeheersysteem. Voor het beheer van autorisaties wordt zoveel mogelijk gebruik gemaakt van standaard autorisatievoorzieningen of –modules. Indien dit op onderdelen niet is te vermijden (bijvoorbeeld bij gegevensafhankelijke autorisatiemechanismen) worden deze functies als aparte module uitgevoerd.
  2. (Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.
  3. Onweerlegbaarheid juiste ontvanger/verzender. In situaties waar (juridische) geschillen kunnen ontstaan over het al dan niet ontvangen of verzenden van elektronische gegevens van of aan de juiste identiteit wordt gebruik gemaakt van generieke voorzieningen van een Public Key Infrastructuur.
  4. Als encryptie ter borging van vertrouwelijkheid en/of integriteit van gegevens binnen of ten behoeve van een applicatie wordt toegepast, dan gelden hiervoor de implementatierichtlijnen van de beheersmaatregel Encryptie.
  5. Dubbele of ontbrekende bestandsuitwisseling. Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt zeker gesteld dat uitwisseling niet of dubbel plaatsvindt. Een dergelijk filetransfermechanisme is bij voorkeur als generieke voorziening in te richten.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen:



Overgenomen van "https://www.noraonline.nl/index.php?title=Geprogrammeerde_controles_af_te_stemmen_met_generieke_IT-voorzieningen&oldid=21865"