IFGS Gedrag

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Op deze pagina staan alle Privacyprincipes en Beveiligingsprincipes in de invalshoek. Alle ISOR-objecten binnen deze context zijn ook te herkennen aan het symbool

Blauw vierkant kader met daarin in wit de G van Gedrag


Alle objecten binnen deze invalshoek[bewerken]

IDTitellink
APO_B.08Toegangsbeveiliging op programmacode
APO_B.08.01Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
APO_B.08.02Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
APO_U.12Beveiligde ontwikkelomgeving
APO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
APO_U.12.02Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
APO_U.12.03De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
APO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegd
APO_U.12.05Ontwikkelaars hebben geen toegang tot productieomgeving
APO_U.12.06Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
APO_U.12.07De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
APO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
APO_U.13Applicatiekoppeling
APO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
APO_U.13.02Van het type koppelingen is een overzicht aanwezig
APO_U.13.03Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
APO_U.13.04De uitgevoerde koppelingen worden geregistreerd
APO_U.14Logging en monitoring applicatieontwikkeling
APO_U.14.01Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
APO_U.14.02Informatie ten aanzien van autorisatie(s) wordt vastgelegd
APO_U.14.03De loggegevens zijn beveiligd
APO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteld
APO_U.14.05De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
APO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
CLD_B.09Privacy en bescherming persoonsgegevens clouddiensten
CLD_B.09.01Treffen maatregelen voor opslag, verwerking en transport van data
CLD_B.09.02Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie
CLD_B.09.03Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt
CLD_B.09.04Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken
CLD_B.09.05Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten
CLD_B.09.06Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten
CLD_B.09.07Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst
CLD_B.09.08Specificeren en documenteren opslag op welke locatie data
CLD_C.05Security-monitoringsrapportage
CLD_C.05.01Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren
CLD_C.05.02Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten
CLD_C.05.03Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht
CLD_C.05.04Analyseren informatiebeveiligingsrapportages in samenhang
CLD_C.05.05Opvolgen verbeteringsvoorstellen uit analyse-rapportages
CLD_C.05.06Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken
CLD_U.10Toegang IT-diensten en data
CLD_U.10.01Bieden toegang tot bevoegde services, IT-diensten en data
CLD_U.10.02Verlenen toegang aan beheerders
CLD_U.10.03Krijgen toegang tot IT-diensten en data
CLD_U.10.04Toekennen bevoegdheden voor gebruikers via formele procedures
CLD_U.10.05Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren
CLD_U.11Cryptoservices
CLD_U.11.01Uitwerken cryptografiebeleid
CLD_U.11.02Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer
CLD_U.11.03Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure
... meer resultaten

Uitleg indeling[bewerken]

De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligingsprincipes of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methodiek ingedeeld naar Beleid, Uitvoering of Control en geordend naar één van de volgende invalshoeken: Intentie, Functie, Gedrag of Structuur. Vanuit elke invalshoek wordt een specifieke verzameling objecten geïdentificeerd.

Relaties tussen invalshoeken[bewerken]

IFGS IntentieIFGS FunctieIFGS GedragIFGS Structuurrelaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.
Over deze afbeelding


Deze invalshoeken hebben onderling de volgende relatie:

  • 'Intentie' wordt geëffectueerd door 'Functie'.
  • 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag'.
  • 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur'.
  • 'Structuur' effectueert 'Gedrag'.

Uitleg invalshoeken[bewerken]

De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur.

Intentie[bewerken]

Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden hiervan zijn: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.

Functie[bewerken]

Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden hiervan zijn: organisatorische en technische functies, processen, taken en taakvereisten.

Gedrag[bewerken]

Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden hiervan zijn: actor, object, interactie, toestand, eigenschap en historie.

Structuur[bewerken]

Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden hiervan zijn: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.


De relaties tussen de objecten vanuit de invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.

Invalshoeken niet gebruikt bij De Privacy Baseline[bewerken]

De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-methodiek en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.