ISOR:Cryptografie: verschil tussen versies

Versie van 25 nov 2019 14:27

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	TVZ_B.02
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Voor toegangsbeveiliging is het van cruciaal belang dat geheime authenticatie-informatie, zoals wachtwoorden en PIN-codes, worden beschermd tijdens de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde om aan geheime authenticatie-informatie het gewenste vertrouwen te ontlenen. Met dit beleid de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v. versleuteling van gegevens.

Criterium

Ter bescherming van authenticatie-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 10.1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_B.04.01	Authenticatie-informatie	Authenticatie-informatie wordt beschermd door middel van versleuteling.
TBV_B.04.02	Cryptografische beheersmaatregelen	Het cryptografiebeleid stelt eisen aan: wie verantwoordelijk is voor de implementatie en het sleutelbeheer; het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag; de wijze waarop de normen van het Forum Standaardisatie worden toegepast.

@@ Regel 1: / Regel 1: @@
 {{#Element:
-|ID=LTV_B.02
+|ID=TVZ_B.02
-|Titel=Eigenaarschap van bedrijfsmiddelen
+|Titel=Cryptografie
 |Elementtype=Beveiligingsprincipe
-|Versie=0.96
+|Versie=1.0
 |Status actualiteit=Actueel
-|Redactionele wijzigingsdatum=29 jan 2018
+|Redactionele wijzigingsdatum=27-3-2019
-|Publicatiedatum=29 jan 2018
+|Publicatiedatum=21-10-2019
-|Beschrijving=Om de toegang tot bedrijfsmiddelen, zoals toegangbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan haar toegekende verantwoordelijkheid het toegangbeveiligingssysteem, conform de hieraan gestelde eisen, kan inrichten.
+|Beschrijving=Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Voor toegangsbeveiliging is het van cruciaal belang dat geheime authenticatie-informatie, zoals wachtwoorden en PIN-codes, worden beschermd tijdens de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde om aan geheime authenticatie-informatie het gewenste vertrouwen te ontlenen. Met dit beleid de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten t.b.v. versleuteling van gegevens.
 |Heeft bron=BIO Thema Toegangsbeveiliging
-|Criterium=Het ''eigenaarschap'' en de ''verantwoordelijkheden'' van bedrijfsmiddelen (logische- en fysieke bedrijfsmiddelen) moeten zijn vastgelegd.
+|Criterium=Ter bescherming van ''authenticatie-informatie'' moet een beleid voor het gebruik van ''cryptografische beheersmaatregelen'' worden ontwikkeld en geïmplementeerd.
-|Doelstelling=Bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
-|Risico=Noodzakelijke beveiligingsacties blijven achterwege.
 |Beveiligingsaspect=Beleid
-|Invalshoek=Intentie
+|Invalshoek=Gedrag
-|Grondslag=* BIR (Baseline Informatiebeveiliging Rijksdienst): 8.1.2
+|Grondslag=* NEN-ISO/IEC 27002: 10.1.1
-* NEN-ISO/IEC 27002: 8.1.2
+* SoGP (Standard of Good Practice for Information Security): TS2.2
-* SoGP (Standard of Good Practice)
+|Conformiteitsindicator=authenticatie-informatie
-|Conformiteitsindicator=eigenaarschap,
+|Heeft ouder=ISOR:BIO Thema Toegangbeveiliging Beleid
-verantwoordelijkheden logisch middelen,
-verantwoordelijkheden fysieke middelen
-|Heeft ouder=ISOR:Toegangbeveiliging Beleidsdomein
 }}