Communicatievoorzieningen Beleid

Uit NORA Online
ISOR:BIO Thema Communicatievoorzieningen Beleid /
Versie door Jbreeman (Overleg | bijdragen) op 14 okt 2019 om 11:02 (onderschrift en alt-tekst aangepast)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Communicatievoorzieningen.

Meer lezen

BIO Thema Communicatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Beleid-domein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Beleid-domein een rol spelen”
Onderwerpen die binnen het Beleid-domein een rol spelen


 Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
 B.01   Beleid en procedures informatietransport   BIO:132.2.1, ISO27033-1: 6.2   I 
 B.02   Overeenkomsten over informatietransport   BIO:13.2.2, ISO27033-1 BSI IT-Grundschutz: S.6   F 
 B.03   Cryptografiebeleid voor communicatievoorzieningen   BIO: 10.3.1, 18.1.5.1 ISO27033-1: 8.8,   G 
 B.04   Organisatiestructuur van netwerkbeheer   BSI S4.2, ISO27033-1: 8.2 ITIL: Netwerkbeheer   S 
Communicatievoorzieningen, Voor het Beleiddomein uitgewerkte Beveiligingsobjecten

Risico

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.

Doelstelling

Dit domein beschrijft BIO-normatieve eisen voor beleid, die rand voorwaardelijk en bedoeld zijn voor de realisatie en operatie van communicatievoorzieningen.

Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDprincipeCriterium
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDStellingNorm
CommVZ_B.01.1Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CommVZ_B.01.2Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
CommVZ_B.01.3Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CommVZ_B.01.4Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
CommVZ_B.01.5Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Procedures beschrijven het opsporen van en beschermen tegen malware
CommVZ_B.01.6Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CommVZ_B.01.7E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CommVZ_B.02.1Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
  1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
  5. acceptabele niveaus van toegangsbeveiliging.
Elementen in overeenkomsten over informatietransport
CommVZ_B.02.2In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CommVZ_B.03.1In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
  • In het cryptografiebeleid uitgewerkte onderwerpen
    CommVZ_B.03.2Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevens moet voor welke communicatievorm worden versleuteld;
  • welk type gegevens elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
  • Aanvullende onderdelen in het cryptografiebeleid
    CommVZ_B.04.1In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CommVZ_B.04.2De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CommVZ_B.04.3De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd