Housing-Normenkader: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (1 versie: Import elementen de Privacy Baseline)
k (Thema is komen te vervallen)
Regel 2: Regel 2:
|ID=Hous
|ID=Hous
|Titel=Housing-Normenkader
|Titel=Housing-Normenkader
|Kent ISOR-element met zelfde titel=0
|Dummy=edit=20171107
|Elementtype=Normenkader
|Elementtype=Normenkader
|Versieaanduiding=0.8.1
|Status=Uitgefaseerd
|Gebruik in Nederlandse publieke sector=In ontwikkeling
|Status toelichting=Thema is komen te vervallen, het nieuwe thema is te vinden op: https://www.noraonline.nl/wiki/BIO_Thema_Huisvesting_Informatievoorziening
|Status actualiteit=Concept
|Practice=BIR
|Redactionele wijzigingsdatum=27 sep 2016
|Toelichting=
=Aanleiding=
In 2012 is de BIR van kracht geworden. Op dit moment wordt binnen de Rijksoverheid hard gewerkt aan de invoering van de BIR. Het beeld dat o.a. uit BIR-onderzoeken naar voren komt, is dat het voor organisaties lastig is een vertaalslag te maken van de maatregelen in de BIR naar de maatregelen in de praktijk. Dit komt onder andere door het feit dat de BIR-normen en maatregelen door elkaar heen lopen en deze bovendien soms multi-interpretabel zijn. Ook levert de structurering van de BIR-normen problemen op, omdat de BIR (ISO 27000 1/2) (nog) niet ingericht op wijze waarop organisaties tegenwoordig werken (bijv. in ketens, uitbesteding en virtualisatie) en sluit de structurering van ISO 27000 niet helemaal bij de belevingswereld van de gebruikersorganisatie. Ook theoretische evaluaties (Lindgreen, 1996) van ISO 27000 bevestigen een tekortkoming in de logische structuur. Er wordt onder andere niet gemotiveerd waarom deze hoofdstukken en de volgorde hiervan zijn gekozen.
Het Centrum voor Informatiebeveiliging & Privacy (CIP) promoot het SIVA-raamwerk. Dit raam-werk helpt informatiebeveiligers en auditors bij het ontwikkelen van beveiligingskaders of referentiekaders volgens de componenten Structuur, Inhoud, Vorm en Analysevolgorde. De verwachting is dat het uitwerken van bijvoorbeeld een baseline als BIR, waarin normen zijn opgenomen, aan de hand van het raamwerk, ook de organisaties die de BIR implementeren zal helpen bij de eenduidige interpretatie en implementatie daarvan.
Vanuit het CIP zijn een aantal BIR-thema’s geselecteerd met als doel om de normen uit de baseline BIR themagewijs te ordenen. Hiermee krijgen de betrokken functionarissen alle relevante normen behorend bij een thema op een handzame wijze gepresenteerd. Eén van deze geselecteerde thema’s betreft het thema ‘Huisvesting Rekencentra’ van rekencentra.
 
=Thema en objecten=
Voordat we ingaan op de onderdelen: object van design/onderzoek, doel van het onderzoek, omschrijving van object van onderzoek, geven eerst de definities van de termen: object en thema.
 
''Definitie Object:
Een object is een observeerbare en identificeerbare tastbaar- en niet tastbaar element in de business en IT-omgeving.''
Bijvoorbeeld: een beleid, een netwerk, een applicatie, een proces, een protocol.
Afspraak: Bij het beschrijven van een norm/principe voor een Object wordt per Object één norm/principe geformuleerd.''
NB: Norm/principe is in ISO 2700x termen: Control. In COBIT-terminologie komt het overeen met ''Control Objectives''. Standard of Good practice (ISF) hanteert het begrip ''principe''.
 
''Definitie Thema:
Een thema geeft een cluster van elementen (objecten) in een bepaald samenhang weer.''
 
De samenhang tussen de objecten wordt bepaald door de beoogde toepassing. Een thema kan daardoor gerelateerd zijn aan een ‘Target of Design’ dat geïmplementeerd of ‘Target of Audit’ dat onderzocht moet worden. Voorbeelden van thema’s zijn: Huisvesting Rekencentra, toegangvoorzieningssysteem, Netwerk. Omdat een thema uit verschillende samenhangende objecten bestaat, waarvan de samenhang bepaald wordt door het type (of toepassing) van te implementeren/onderzoeken onderwerpen, bestaan ook meerdere samenhangende principes.
Zo kan bijvoorbeeld het onderwerp ''netwerk'' als zowel een ''object'' als een ''thema'' beschouwd worden.
''Netwerk als Object'' - er bestaat een algemeen principe voor het onderwerp netwerk (in ISO-terminologie: een control), zoals dit in de afbeelding ''Een individueel object binnen een onderzoeksgebied'' wordt geïllustreerd.
 
Bijvoorbeeld:
''De provider dient het netwerk op basis van netwerkbeveiligingsrichtlijnen en architectuurvoorschriften te implementeren om een veilige netwerkdienst te kunnen bieden.''
''Netwerk als Thema'' - er bestaan verschillende objecten met ieder een principe binnen het thema netwerk omdat het hier om een specifieke systeem-scope gaat. Bij een systeem-scope wordt een object van onderzoek in samenhang benaderd vanuit drie domeinen: beleid-, uitvoering- en control, zoals dit in afbeelding ''Een thema binnen een onderzoeksgebied'' wordt geïllustreerd. Binnen elk domein komen objecten voor die bij implementatie of bij evaluatie betrokken worden. Bij de uitwerking van het thema ‘Logische toegangsvoorziening’ worden objecten uit verschillende baselines geïdentificeerd: ISO, Nist, Cobit, SoGP.
=Object van design/onderzoek=
Het object van design/onderzoek is Huisvesting Rekencentra, afgekort ''Huisvesting Rekencentra''. Het betreft de geselecteerde beveiligingsmaatregelen en/of toetsnormen uit de BIR die betrekking hebben op het thema Huisvesting Rekencentra. Het gaat hierbij om een samenhangende set van normen uit BIR en andere baseline vast te leggen, zodanig dat verantwoordelijken voor het implementeren en/of het beoordelen van dit thema kunnen uitgaan van dezelfde set normen waarbij interpretaties van normen/principes (of controls) en onderliggende implementatie- of beoordelings-criteria) geen problemen opleveren.
 
=Doel van het onderzoek=
Het opleveren van een vaktechnisch verantwoord referentiekader voor het BIR-thema Huisvesting Rekencentra, dat:
* organisaties een instrument biedt om de BIR-normen op een meer eenduidige wijze te implementeren;
* auditors een verantwoord instrument biedt voor het evalueren/toetsen van het thema Huisvesting Rekencentra op basis van de relevante objecten binnen dit thema.
De opgedane ervaring en de lessons learned uit deze uitwerking zullen actief worden gedeeld bij relevante gremia (betrokken partijen) en zullen beschikbaar worden gesteld aan stakeholders voor de evaluatie van de BIR.
 
=Eindproduct=
Volgens het SIVA-raamwerk uitgewerkte BIR-normen ten aanzien van het thema Huisvesting van rekencentra.
 
=Leeswijzer=
In hoofdstuk 2 worden de bevindingen van het onderzoek en de daaruit af te leiden conclusies en aanbevelingen genoemd. De keuze van BIR-maatregelen op het gebied van Huisvesting van rekencentra wordt in hoofdstuk 3 toegelicht. De aanpak van het onderzoek is in hoofdstuk 4 uitgewerkt en het feitelijke onderzoek wordt in de hoofdstukken 5 t/m 7 beschreven. Om het feitelijke onderzoek te kunnen plaatsen, is enige kennis de SIVA-methodiek vereist. In bijlage 5 wordt de kennis van de SIVA-methodiek aangereikt.
|Heeft bron=Normenkader Housing
|Afbeelding=[[Bestand:Een individueel object binnen een onderzoeksgebied.png|700px|afbeelding ''Een individueel object binnen een onderzoeksgebied'']],
[[Bestand:Een thema binnen een onderzoeksgebied.png|700px|afbeelding ''Een thema binnen een onderzoeksgebied'']]
}}
}}

Versie van 24 mrt 2020 16:21


Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit Normenkader is deel van ISOR.

ID: Hous
Normenkader
Status:
Thema is komen te vervallen, het nieuwe thema is te vinden op: BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Publicatiedatum:
Redactionele wijzigingsdatum: Ongewijzigd sinds publicatie


Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen Housing-Normenkader

Alle onderdelen van Housing-Normenkader zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie beveiligingsaspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld, herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor De Privacy Baseline en Grip op Secure Software Development geldt een uitzondering. Daar heeft de invalshoek geen rol gespeeld bij de samenstelling van het 'normenkader'.

De principes en onderliggende normen van Housing-Normenkader zijn op basis hiervan in een aantal overzichten gezet:

Principes uit Housing-Normenkader

In deze tabel staan alle principes uit Housing-Normenkader, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

Er zijn geen gepubliceerde pagina's met dit beveiligingsaspect die aangeven binnen dit normenkader te vallen.

Uitvoering (principes)

export principes Uitvoering als csv

Er zijn geen gepubliceerde pagina's met dit beveiligingsaspect die aangeven binnen dit normenkader te vallen.

Control (principes)

export principes Control als csv

Er zijn geen gepubliceerde pagina's met dit beveiligingsaspect die aangeven binnen dit normenkader te vallen.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit Housing-Normenkader. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen en in uitgebreide tabel.

Beleid (normen)

export normen Beleid als csv

Er zijn geen normen die aangeven binnen dit aspectgebied te vallen.

Uitvoering (normen)

export normen Uitvoering als csv

Er zijn geen normen die aangeven binnen dit aspectgebied te vallen.

Control (normen)

export normen Control als csv

Er zijn geen normen die aangeven binnen dit aspectgebied te vallen.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Nederlandse Overheid Referentie Architectuur.

Overgenomen van "https://www.noraonline.nl/index.php?title=Housing-Normenkader&oldid=41331"