Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen

Uit NORA Online
Versie door NCoppens (overleg | bijdragen) op 13 nov 2013 om 18:34 (staartsjabloon toegevoegd)
Naar navigatie springen Naar zoeken springen
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.

Sjabloon:Beheersmaatregel

Beheersmaatregel[bewerken]

In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.

Toelichting en afbakening[bewerken]

Deze doelstelling zal doorgaans alleen volledig haalbaar zijn bij maatwerkapplicaties. Bij standaard applicaties/programmapakketten worden dergelijke functies meestal meegeleverd en zijn niet uit te schakelen en te vervangen door eigen generieke functies, hooguit daarmee te synchroniseren. Bovendien kunnen dan tevens andere generieke IB-functies aan de orde zijn.

Implementatierichtlijnen[bewerken]

(niet uitputtend)

  1. Autorisatiebeheersysteem. Voor het beheer van autorisaties wordt zoveel mogelijk gebruik gemaakt van standaard autorisatievoorzieningen of –modules. Indien dit op onderdelen niet is te vermijden (bijvoorbeeld bij gegevensafhankelijke autorisatiemechanismen) worden deze functies als aparte module uitgevoerd.
  2. (Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.
  3. Onweerlegbaarheid juiste ontvanger/verzender. In situaties waar (juridische) geschillen kunnen ontstaan over het al dan niet ontvangen of verzenden van elektronische gegevens van of aan de juiste identiteit, wordt gebruik gemaakt van generieke voorzieningen van een Public Key Infrastructuur.
  4. Encryptie. Als encryptie ter borging van vertrouwelijkheid en/of integriteit van gegevens binnen of ten behoeve van een applicatie wordt toegepast, dan gelden hiervoor de normen van de subparagrafen Encryptie ten behoeve van zonering, Sterkte van de encryptie en Vertrouwelijkheid en integriteit van sleutels.
  5. Dubbele of ontbrekende bestandsuitwisseling. Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt zeker gesteld dat uitwisseling niet of dubbel plaatsvindt. Een dergelijk filetransfermechanisme is bij voorkeur als generieke voorziening in te richten.

Sjabloon:Beheersmaatregel staart

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Geprogrammeerde_controles_af_te_stemmen_met_generieke_IT-voorzieningen&oldid=2857"