Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen

Uit NORA Online
Ga naar: navigatie, zoeken

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).

Contactpersonen: Annemieke de Wit en Guus van den Berg.

annemieke.dewit@cip-overheid.nl en guus.vandenberg@cip-overheid.nl


Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen.png
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Integriteit

Thema: Beveiliging/Administratieve controle
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 14.4, 12.5, 12.6, ISO 27001:2013 14.1

Eis: In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.

Realiseert

Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen:

  1. Autorisatiebeheersysteem. Voor het beheer van autorisaties wordt zoveel mogelijk gebruik gemaakt van standaard autorisatievoorzieningen of –modules. Indien dit op onderdelen niet is te vermijden (bijvoorbeeld bij gegevensafhankelijke autorisatiemechanismen) worden deze functies als aparte module uitgevoerd.
  2. (Ver)sterkte authenticatie. Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijvoorbeeld vanuit de externe zone) kan het noodzakelijk zijn extra zekerheden (boven het basisniveau beveiliging) te verkrijgen over de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het in dit gevoerde beleid en de beschikbare generieke oplossingen.
  3. Onweerlegbaarheid juiste ontvanger/verzender. In situaties waar (juridische) geschillen kunnen ontstaan over het al dan niet ontvangen of verzenden van elektronische gegevens van of aan de juiste identiteit wordt gebruik gemaakt van generieke voorzieningen van een Public Key Infrastructuur.
  4. Als encryptie ter borging van vertrouwelijkheid en/of integriteit van gegevens binnen of ten behoeve van een applicatie wordt toegepast, dan gelden hiervoor de implementatierichtlijnen van de beheersmaatregel Encryptie.
  5. Dubbele of ontbrekende bestandsuitwisseling. Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt zeker gesteld dat uitwisseling niet of dubbel plaatsvindt. Een dergelijk filetransfermechanisme is bij voorkeur als generieke voorziening in te richten.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen: