IFGS Gedrag
Op deze pagina staan alle Privacyprincipes en Beveiligingsprincipes in de invalshoek. Alle ISOR-objecten binnen deze context zijn ook te herkennen aan het symbool
Alle objecten binnen deze invalshoek
| ID | Titel | link |
|---|---|---|
| AppO_B.08 | Toegangsbeveiliging op programmacode | Toegangsbeveiliging op programmacode |
| AppO_U.12 | Beveiligde ontwikkel- (en test) omgeving | Beveiligde ontwikkel- (en test) omgeving |
| AppO_U.13 | Applicatiekoppelingen | Applicatiekoppelingen |
| Cloud_B.09 | Data en privacy | Data en privacy |
| Cloud_C.05 | Security-monitoring | Security-monitoring |
| Cloud_U.10 | Toegang tot IT-diensten en data | Toegang tot IT-diensten en data |
| Cloud_U.11 | Crypto-services | Crypto-services |
| Cloud_U.12 | Koppelvlakken | Koppelvlakken |
| Cloud_U.13 | Service-orkestratie | Service-orkestratie |
| Cloud_U.14 | Interoperabiliteit en portabiliteit | Interoperabiliteit en portabiliteit |
| Cloud_U.15 | Logging en monitoring | Logging en monitoring |
| CommVZ_B.03 | Cryptografiebeleid voor communicatie | Cryptografiebeleid voor communicatie |
| CommVZ_C.04 | Evalueren netwerk monitoring | Evalueren netwerk monitoring |
| CommVZ_U.09 | Gateway/Firewall | Gateway/Firewall |
| CommVZ_U.10 | Virtual Private Networks (VPN) | Virtual Private Networks (VPN) |
| CommVZ_U.11 | Cryptografische Services | Cryptografische Services |
| CommVZ_U.12 | Wireless Access | Wireless Access |
| CommVZ_U.13 | Netwerkconnecties | Netwerkconnecties |
| CommVZ_U.14 | Netwerkauthenticatie | Netwerkauthenticatie |
| CommVZ_U.15 | Netwerk beheeractiviteiten | Netwerk beheeractiviteiten |
| CommVZ_U.16 | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Vastleggen en monitoring van netwerkgebeurtenissen (events) |
| Huisv_B.08 | Training en Awareness | Training en Awareness |
| Huisv_B.08.01 | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| Huisv_B.08.02 | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| Huisv_U.10 | Laad en los locatie | Laad en los locatie |
| Huisv_U.10.01 | Een procedure beschrijft het omgaan met verdachte brieven en pakketten | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
| Huisv_U.10.02 | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
| Huisv_U.10.03 | Eisen aan de laad- en loslocatie | Eisen aan de laad- en loslocatie |
| Huisv_U.10.04 | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
| Huisv_U.10.05 | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
| Huisv_U.10.06 | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
| Huisv_U.10.07 | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
| Huisv_U.11 | Bekabeling | Bekabeling |
| Huisv_U.11.01 | Kabels worden bij voorkeur ondergronds aangelegd | Kabels worden bij voorkeur ondergronds aangelegd |
| Huisv_U.11.02 | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
| Huisv_U.11.03 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
| LTV_C.03.04 | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld |
| SERV_C.03 | Beheerderactiviteiten vastgelegd in logbestanden | Beheerderactiviteiten vastgelegd in logbestanden |
| SERV_C.04 | Registratie gebeurtenissen | Registratie gebeurtenissen |
| SERV_C.05 | Monitoren van serverplatforms | Monitoren van serverplatforms |
| SERV_U.09 | Hardenen van servers | Hardenen van servers |
| SERV_U.10 | Serverconfiguratie | Serverconfiguratie |
| SERV_U.11 | Beveiliging Virtueel serverplatform | Beveiliging Virtueel serverplatform |
| SERV_U.12 | Beperking van software-installatie | Beperking van software-installatie |
| SERV_U.13 | Kloksynchronisatie | Kloksynchronisatie |
| TVZ_B.03.01 | De rollen binnen de beveiligingsfunctie zijn benoemd | De rollen binnen de beveiligingsfunctie zijn benoemd |
| TVZ_B.04 | Cryptografie | Cryptografie |
| TVZ_B.04.01 | Authenticatie-informatie wordt beschermd door middel van versleuteling | Authenticatie-informatie wordt beschermd door middel van versleuteling |
| TVZ_C.03 | Gebeurtenissen registreren (logging en monitoring) | Gebeurtenissen registreren (logging en monitoring) |
| TVZ_C.03.05 | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd |
| … overige resultaten | ||
Uitleg indeling
De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligings- of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methode ingedeeld naar Beleid, Uitvoering of Control en geordend naar een van de volgende invalshoeken: Intentie, Functie, Gedrag of Structuur.
Deze invalshoeken hebben onderling de volgende relatie:
- 'Intentie' ('Doel') wordt geëffectueerd door 'Functie'.
- 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag'.
- 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur'.
- 'Structuur' effectueert 'Gedrag'.
Uitleg
De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur (IFGS). Vanuit elke IFGS-invalshoek wordt een specifieke verzameling basiselementen (objecten) geïdentificeerd. De invalshoeken houden het volgende in:
Intentie
Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.
Functie
Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden: organisatorische en technische functies, processen, taken en taakvereisten.
Gedrag
Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden: actor, object, interactie, toestand, eigenschap en historie;.
Structuur
Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden: business-organisatiestructuur, business- architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., IT-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en business-IT-alignment.
De relaties tussen de objecten vanuit de IFGS-invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.
Invalshoeken niet gebruikt bij opstellen van de Privacy Baseline
De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-analysemodel en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie. De opzet van de Baseline is de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken IFGS bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.
