ISOR/normen tabel

Uit NORA Online
Naar navigatie springen Naar zoeken springen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema-uitwerking Communicatievoorzieningen, met het unieke ID, de

conformiteitsindicator uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download en in uitgebreide versie met alle bestaande eigenschappen.
IDConformiteitsindicatorStellingRealiseert bovenliggend principeBeveiligingsaspect
CVZ_B.01.01BeleidsregelsHet beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid en procedures voor informatietransportBeleid
CVZ_B.01.02BeleidsregelsHet beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.Beleid en procedures voor informatietransportBeleid
CVZ_B.01.03BeleidsregelsHet beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid en procedures voor informatietransportBeleid
CVZ_B.01.04ProceduresDe procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging.Beleid en procedures voor informatietransportBeleid
CVZ_B.01.05ProceduresDe procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017).Beleid en procedures voor informatietransportBeleid
CVZ_B.01.06ProceduresDe procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Beleid en procedures voor informatietransportBeleid
CVZ_B.01.07BeheersmaatregelenE-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.Beleid en procedures voor informatietransportBeleid
CVZ_B.02.01OvereenkomstenOvereenkomsten over informatietransport bevatten onder andere de volgende elementen:
  • directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  • procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheid;
  • speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  • het handhaven van een bewakingsketen voor informatie tijdens de verzending;
  • acceptabele niveaus van toegangsbeveiliging.
Overeenkomst voor informatietransportBeleid
CVZ_B.02.02OvereenkomstenIn de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.Overeenkomst voor informatietransportBeleid
CVZ_B.03.01CryptografiebeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wanneer cryptografie ingezet wordt.
  • Wie verantwoordelijk is voor de implementatie.
  • Wie verantwoordelijk is voor het sleutelbeheer.
  • Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • De wijze waarop het beschermingsniveau wordt vastgesteld.
  • Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld
    		• Cryptografiebeleid voor communicatieBeleid
    CVZ_B.03.02CryptografiebeleidAanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
  • Welk typen gegevens moeten voor welke communicatievorm worden versleuteld.
  • Welk typen gegevens elektronisch worden ondertekend.
  • Aan welke standaarden cryptografische toepassingen dienen te voldoen.
  • In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.
    		• Cryptografiebeleid voor communicatieBeleid
    CVZ_B.04.01OrganisatiestructuurIn de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management).Organisatiestructuur netwerkbeheerBeleid
    CVZ_B.04.02OrganisatiestructuurDe beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.Organisatiestructuur netwerkbeheerBeleid
    CVZ_B.04.03OrganisatiestructuurDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.Organisatiestructuur netwerkbeheerBeleid
    CVZ_C.01.01NalevingDe naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
  • netwerktopologie/-ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’;
  • identificatie- en authenticatiemechanismen;
  • autorisatiemechanismen en een actuele administratie van de uitgegeven rechten;
  • actuele beleidsregels voor de netwerkbeveiliging;
  • aanwijzingen voor hardening van netwerkcomponenten;
  • verifieerbare auditlogoplossing.
    		• Naleving richtlijnen netwerkbeheer en evaluatiesControl
    CVZ_C.02.01InrichtingDe controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • een actueel beveiligingsbeleid;
  • gerelateerde security operation-documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • het beleid voor toegang tot security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
    		• Compliance-toets netwerkbeveiligingControl
    CVZ_C.02.02PeriodiekInformatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.Compliance-toets netwerkbeveiligingControl
    CVZ_C.02.03VerantwoordelijkeDe resultaten worden gerapporteerd aan het verantwoordelijke management.Compliance-toets netwerkbeveiligingControl
    CVZ_C.03.01RobuustheidDe teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • de robuustheid van het ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’;
  • de sterkte van Identificatie-, Authenticatie en Autorisatie (IAA)-mechanismen en de relevantie van uitgegeven rechten;
  • de juiste implementatie van de beleidsregels voor netwerkbeveiliging;
  • de verificatie van de hardening van netwerkcomponenten;
  • de verificatie van de auditlogoplossing;
  • de bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door servicepersoneel en eindgebruikers.
    		• Evalueren robuustheid netwerkbeveiligingControl
    CVZ_C.04.01Onderzoek van gebeurtenissenZeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren en vervolgens;
  • snel reageren.
    		• Evalueren netwerkgebeurtenissen (monitoring)Control
    CVZ_C.04.02Onderzoek van gebeurtenissenContinue bewaking via monitoring legt de volgende informatie vast:
  • auditlogs vanuit de netwerkcomponenten: firewalls, router, servers etc.;
  • analyse-informatie vanuit Intrusion Detection Systems (IDS);
  • resultaten vanuit netwerkscanningsactiviteiten.
    		• Evalueren netwerkgebeurtenissen (monitoring)Control
    CVZ_C.05.01VerantwoordelijkhedenDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd.Beheersorganisatie netwerkbeveiligingControl
    CVZ_C.05.02VerantwoordelijkhedenBeheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
  • De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend.
  • De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd.
  • De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken.
  • De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
    		• Beheersorganisatie netwerkbeveiligingControl
    CVZ_U.01.01OntwerpDe voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  • identificatie van middelen (assets);
  • inventarisatie van functionele eisen;
  • beoordeling van functionele eisen in de context van het beoogd gebruik;
  • evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  • evaluatie van bestaande ontwerpen en implementaties.
    		• Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.01.02OntwerpLeidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen.Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.01.03OntwerpNetwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C).Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.01.04OntwerpNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.01.05ImplementatieDe implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals in norm U.01.04 is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012.Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.01.06BeheerNetwerken zijn zo opgezet dat ze centraal beheerd kunnen worden.Richtlijn voor netwerkbeveiligingUitvoering
    CVZ_U.02.01InlogprocedureVoor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.Beveiligde inlogprocedureUitvoering
    CVZ_U.02.02InlogprocedureAls vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal twee-factorauthenticatie.Beveiligde inlogprocedureUitvoering
    CVZ_U.02.03InlogprocedureToegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
    1. Remote login, Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.
    2. Versterkte authenticatie, Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.
    3. Single Sign-On, Voor situaties waarbij netwerken worden geacht authenticatie-checks uit te voeren voor verschillende toepassingen.
    		Beveiligde inlogprocedureUitvoering
    CVZ_U.03.01BeheerdVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.03.02BeheerdNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.03.03BeheerdBeheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.03.04BeheerdTer bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.03.05BeheerstDe functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.03.06BeheerstSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.NetwerkbeveiligingsbeheerUitvoering
    CVZ_U.04.01Vertrouwelijkheids- of geheimhoudingsovereenkomstenVoor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
    • de looptijd van een overeenkomst;
    • de benodigde acties bij beëindiging;
    • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
    • hoe het eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
    • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
    • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
    • de acties in geval van schending van de overeenkomst;
    • de privacyregelgeving (Algemene Verordening Gegevensbescherming (AVG) en Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)).
    		Vertrouwelijkheids- of geheimhoudingsovereenkomstUitvoering
    CVZ_U.05.01BeveiligingsmechanismenBij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een positief inzetadvies heeft afgegeven.Beveiliging netwerkdienstenUitvoering
    CVZ_U.05.02BeveiligingsmechanismenDe noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.Beveiliging netwerkdienstenUitvoering
    CVZ_U.05.03BeveiligingsmechanismenBeveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
  • Applicatieniveau, Voor authenticiteit, integriteit, vertrouwelijkheid en onweerlegbaarheid: encryptie.
  • Transportniveau, Voor veilige point to point-verbindingen: encryptie.
  • Netwerkniveau, Voor veilige communicatie tussen devices, encryptie, firewalls en netwerkverbindingen: Virtual Private Network (VPN).
    		• Beveiliging netwerkdienstenUitvoering
    CVZ_U.05.04DienstverleningsniveausHet dienstverleningsniveau wordt afgestemd op de volgende eisen:
  • de vereiste performance en beschikbaarheid van het netwerk;
  • de toegestane verbindingstypen;
  • de toegestane netwerkprotocollen;
  • de toegepaste applicaties op de te leveren netwerkservices;
  • de beoogde architectuur- en ontwerpprincipes.
    		• Beveiliging netwerkdienstenUitvoering
    CVZ_U.05.05BeheereisenHet dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.Beveiliging netwerkdienstenUitvoering
    CVZ_U.05.06BeheereisenBij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Beveiliging netwerkdienstenUitvoering
    CVZ_U.06.01Gescheiden (in domeinen)Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Zonering en filteringUitvoering
    CVZ_U.06.02Gescheiden (in domeinen)Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Zonering en filteringUitvoering
    CVZ_U.06.03Gescheiden (in domeinen)Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router).Zonering en filteringUitvoering
    CVZ_U.06.04Gescheiden (in domeinen)Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen.Zonering en filteringUitvoering
    CVZ_U.07.01PassendVoor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie.Elektronische berichtenUitvoering
    CVZ_U.07.02PassendVoor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling.Elektronische berichtenUitvoering
    CVZ_U.07.03PassendBij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Elektronische berichtenUitvoering
    CVZ_U.07.04PassendOm zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie).Elektronische berichtenUitvoering
    CVZ_U.07.05PassendVoor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • de berichten te beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening met het classificatieschema van de organisatie;
  • een correcte adressering en het transport van het bericht waarborgen;
  • de herstelbaarheid van onderbroken communicatie en de beschikbaarheid van de dienst;
  • de wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • het toestemming verkrijgen van het verantwoordelijke management en de gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of het delen van bestanden;
  • de twee-factorauthenticatie voor de toegang vanuit de openbaar toegankelijke netwerken.
    		• Elektronische berichtenUitvoering
    CVZ_U.08.01Openbare netwerkenMet de communicerende partijen worden afspraken gemaakt over:
  • de wederzijdse authenticatie;
  • de bevoegdheden voor het gebruik van de dienst;
  • de integriteit en vertrouwelijkheid van transacties, belangrijke documenten en de onweerlegbaarheid van de ontvangst;
  • een passende verificatie voor de controle van de transactie.
    		• Toepassingen via openbare netwerkenUitvoering
    CVZ_U.09.01FilterfunctieVoor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Gateways en firewallsUitvoering
    CVZ_U.09.02FilterfunctieDe filterfunctie van gateways en firewalls zijn instelbaar.Gateways en firewallsUitvoering
    CVZ_U.09.03FilterfunctieGebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM).Gateways en firewallsUitvoering
    CVZ_U.09.04ToegestaanUitsluitend toegestaan netwerkverkeer wordt doorgelaten.Gateways en firewallsUitvoering
    CVZ_U.10.01Gescheiden end-to-end-connectieDe end-to-end-connectie:
  • wordt gecreëerd door scheiding van de adresseringsruimte en routeringen tussen Virtual Private Network (VPN’s) over het onderliggende netwerk;
  • geeft garanties dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen denial of service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label spoofing (het mogelijk injecteren van foute labels).
    		• Virtual Private Networks (VPN) (ISOR:Virtual Private Networks (VPN))Uitvoering
    CVZ_U.11.01VertrouwelijkheidVoor het waarborgen van de vertrouwelijkheid van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie.Cryptografische servicesUitvoering
    CVZ_U.11.02IntegriteitVoor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
  • communicatieprotocollen die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen die de signatuur van de zender gebruiken voor onweerlegbaarheid van de ontvangst en de integriteit van de ontvangen data.
    		• Cryptografische servicesUitvoering
    CVZ_U.11.03CryptografischeCryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie.Cryptografische servicesUitvoering
    CVZ_U.11.04BeheersmaatregelenCryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
  • Advanced Encryption Standard (AES);
  • Sleutellengte 128 bit voor ‘lichte’ en 192 of 256 bits voor ‘zware’ toepassingen.
    		• Cryptografische servicesUitvoering
    CVZ_U.12.01Authenticatie, autorisatie en versleutelingOmdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
  • Netwerktoegangscontrole (Institute of Electrical and Electronics Engineers (IEEE) 802.1x) en apparaat-authenticatie (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • Integriteitcontrolemechanismen voorkomen man-in-the-middle attacks.
  • Encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast met backwards- compatibility-mogelijkheden voor de ondersteuning van oudere of minder sterke protocollen.
  • Autorisatie van mobiele clients, bijvoorbeeld via Media Access Control (MAC)-adresfiltering.
  • Toegangscontrole van eindgebruikers, bijvoorbeeld via Role Based Access Control (RBAC).
  • Niet toegestane typen netwerkverkeer worden geblokkeerd.
  • Niet benodigde functies zijn altijd uitgeschakeld (hardening).
  • Bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching en patchmanagement).
    		• Draadloze toegangUitvoering
    CVZ_U.13.01VerbindingenVoor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • de identificatie van alle soorten netwerkverbindingen die worden gebruikt;
  • een actuele lijst van toegestane en gebruikte protocollen;
  • een actuele lijst van gebruikte netwerktoepassingen;
  • een continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • een actuele netwerktopologie en daarvoor geldende beveiligingseisen.
    		• NetwerkconnectieUitvoering
    CVZ_U.13.02BewaaktNetwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd.NetwerkconnectieUitvoering
    CVZ_U.14.01Authenticatie van netwerknodesAlvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)).NetwerkauthenticatieUitvoering
    CVZ_U.14.02Authenticatie van netwerknodesAlleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x).NetwerkauthenticatieUitvoering
    CVZ_U.15.01BeheerdNetwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. Met name geldt daarbij:
  • Administratie:
    • Het continue actualiseren van de netwerktopologie.
    • Het beheersen en ‘huishouden’ van netwerk-resources en de wijze waarop die beschikbaar zijn gesteld.
  • Beschikbaarheidsbeheer:
    • Het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, zodat onderbrekingen zo vroeg mogelijk worden ontdekt en verholpen.
  • Incidentmanagement:
    • Het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • Technische kwetsbaarhedenmanagement:
    • Het verzamelen en uitvoeren van beveiligingsupgrades, zoals het aanbrengen van patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling.
    • Het verhelpen van fysieke kwetsbaarheden in het netwerk zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
    		• NetwerkbeheeractiviteitenUitvoering
    CVZ_U.15.02BeheerstNetwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.NetwerkbeheeractiviteitenUitvoering
    CVZ_U.16.01Gemaakt en bewaardOvertredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs.Vastleggen en monitoring netwerkgebeurtenissen (events) (ISOR:Vastleggen en monitoring van netwerkgebeurtenissen (events))Uitvoering
    CVZ_U.16.02BeoordeeldHet beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Logging en monitoring communicatievoorzieningenUitvoering
    CVZ_U.17.01SamenhangDe beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuur van het te beveiligen systeem.NetwerkbeveiligingsarchitectuurUitvoering
    CVZ_U.17.02SamenhangDe beveiligingsarchitectuur is gelaagd, zoals:
  • het Nederlandse Overheid Referentie Architectuur (NORA)-beveiligingsmetamodel;
  • SABSA®.
    		• NetwerkbeveiligingsarchitectuurUitvoering
    CVZ_U.17.03SamenhangDe netwerktopologie is in kaart gebracht en wordt continu actueel gehouden.NetwerkbeveiligingsarchitectuurUitvoering

    Nederlandse Overheid Referentie Architectuur.

    Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

    Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

    Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR/normen_tabel&oldid=58298"