Elektronische berichten

Exporteer naar RDF

Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CVZ_U.07
Versie:	2.1
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	25-11-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Verwante principes

→ BIO Thema-uitwerking Communicatievoorzieningen

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Objectdefinitie

Betreft het geautomatiseerd of via een gebruikersinteractie elektronisch uitwisselen van informatie.

Objecttoelichting

Beveiliging van elektronisch berichtenverkeer omvat bijvoorbeeld e-mail, web-verkeer, chatsessies en ‘streaming’ van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreffen:

een correcte adressering;
een geautoriseerde toegang;
een integer datatransport;
het toereikend zijn van de beschikbaarheid;
het voldoen aan (wettelijke) bepalingen voor de elektronische handtekening en onweerlegbaarheid.

Criterium

Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd.

Doelstelling

Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk.

Risico

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 13.2.3

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CVZ_U.07.01	Passend	Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie.
CVZ_U.07.02	Passend	Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling.
CVZ_U.07.03	Passend	Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.
CVZ_U.07.04	Passend	Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie).
CVZ_U.07.05	Passend	Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals: de berichten te beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening met het classificatieschema van de organisatie; een correcte adressering en het transport van het bericht waarborgen; de herstelbaarheid van onderbroken communicatie en de beschikbaarheid van de dienst; de wettelijke bepalingen zoals eisen voor elektronische handtekeningen; het toestemming verkrijgen van het verantwoordelijke management en de gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of het delen van bestanden; de twee-factorauthenticatie voor de toegang vanuit de openbaar toegankelijke netwerken.