Communicatievoorzieningen Beleid
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.
Meer lezen |
Doelstelling[bewerken]
Het beleidsdomein beschrijft normatieve eisen voor beleid, die randvoorwaardelijk en bedoeld zijn voor de realisatie en operatie van communicatievoorzieningen.
Risico's[bewerken]
Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.
Objecten, controls en maatregelen
Onderstaande afbeelding is het resultaat van de SIVA-analyse op relevante objecten voor het informatievoorzieningsbeleid. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Het wit ingekleurde object ontbreekt als control in de Baseline Informatiebeveiliging Overheid (BIO) maar is wel cruciaal voor deze BIO Thema-uitwerking. Het geeft een overzicht en de ordening van objecten. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.
Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
CVZ_B.01 | Beleid en procedures voor informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
CVZ_B.02 | Overeenkomst voor informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. |
CVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
CVZ_B.04 | Organisatiestructuur netwerkbeheer | In het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan. |
Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
CVZ_B.01.01 | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
CVZ_B.01.02 | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. | Beleid of richtlijnen omschrijven het toepassen van cryptografie |
CVZ_B.01.03 | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
CVZ_B.01.04 | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Procedures beschrijven het beveiligen van informatie |
CVZ_B.01.05 | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Procedures beschrijven het opsporen van en beschermen tegen malware |
CVZ_B.01.06 | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
CVZ_B.01.07 | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd |
CVZ_B.02.01 | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Elementen in overeenkomsten over informatietransport |
CVZ_B.02.02 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
CVZ_B.03.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| In het cryptografiebeleid uitgewerkte onderwerpen |
CVZ_B.03.02 | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Aanvullende onderdelen in het cryptografiebeleid |
CVZ_B.04.01 | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management). | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
CVZ_B.04.02 | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
CVZ_B.04.03 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd |