Huisvesting Uitvoeringsdomein

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering (Doorverwezen vanaf ISOR:Huisvesting Uitvoeringsdomein)
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Huisvesting Informatievoorziening.

Meer lezen

Bron niet opgegeven
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Uitvoering domein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde generieke objecten. Per generiek object worden conformiteitsindicatoren uitgewerkt, deze conformiteitsindicatoren representeren een vast te stellen set van maatregelen.

De onderwerpen die uit de BIO binnen dit domein een rol spelen zijn dienstverlening, huisvestingsvoorzieningen en inrichting en zijn onderverdeeld naar Gebouwen (GB) en Voorzieningen (VZ); zie onderstaande figuur.

Thema Huisvesting - Uit te werken Huisvesting-IV Uitvoeringsobjecten onderverdeeld naar Gebouwen en Voorzieningen

Risico

Als naleving van specifieke normen, omgezet in eisen voor de inrichting en exploitatie van rekencentra niet wordt gerealiseerd, dan ontstaan er continuiteit-, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.

Doelstelling

Het doel van het uitvoeringsdomein (Huisvesting-IV) is te waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

ID principe Criterium
Huisv_U.01 Richtlijnen gebieden en ruimten Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02 Bedrijfsmiddelen inventaris Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03 Fysieke zonering 'Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04 Beveiligingsfaciliteiten ruimten Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en toegepast.
Huisv_U.05 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06 Apparatuur positionering Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07 Onderhoud Apparatuur Apparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08 Apparatuur verwijdering Alle onderdelen van de apparatuur die opslagmedia bevatten moeten worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09 Bedrijfsmiddelen verwijdering Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10 Laad en los locatie Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11 Bekabeling De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12 Huisvesting-IV architectuur Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

ID Stelling Norm
Huisv_U.01.01 Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten in een beveiligd gebied. Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
Huisv_U.01.02 Zonder toezicht werken in beveiligde gebieden behoort te worden vermeden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. In beveiligde gebieden wordt slechts onder toezicht gewerkt
Huisv_U.01.03 Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd
Huisv_U.01.04 Foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele apparatuur, behoort, tenzij goedgekeurd, niet te worden toegelaten. Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
Huisv_U.01.05 Bezoeker tot kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden gemonitord bij aankomst en vertrek;
  • verplicht badges te dragen;
  • worden continu onder toezicht onderworpen;
  • worden bewust gemaakt en krijgen instructie over de beveiliging van de omgeving en noodprocedures;
  • worden aangegeven dat het gebruik van audio en fotomateriaal niet is toegestaan.
Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
Huisv_U.02.01 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
Huisv_U.02.02 Een RC- organisatie behoort bedrijfsmiddelen voor de Huisvesting-RC die relevant zijn in de levenscyclus van informatie te identificeren en hun belang te documenteren.

De levenscyclus van informatie behoort aanmaak, verwerking, opslag. overdracht, verwijdering en vernietiging te omvatten.

Documentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC
Huisv_U.02.03 De inventarislijst van de bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijn. Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
Huisv_U.02.04 Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
Huisv_U.02.05 Inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt en kunnen ook voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële (beheer van bedrijfsmiddelen) redenen. Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
Huisv_U.03.01 Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende voorschriften:
  1. het Kader Rijkstoegangsbeleid (2010);
  2. het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  3. het Beveiligingsvoorschrift Rijk (BVR 2013).
Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
Huisv_U.03.02 Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
Huisv_U.03.03 Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
Huisv_U.03.04 Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen. Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
Huisv_U.03.05 Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord. Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord
Huisv_U.04.01 Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn. Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
Huisv_U.04.02 Faciliteiten moeten zijn geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn. Voor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen. Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
Huisv_U.04.03 Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten niet vrij toegankelijk te zijn voor onbevoegden. Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
Huisv_U.04.04 Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). Sleutelbeheer is ingericht op basis van een sleutelplan
Huisv_U.05.01 Nutsvoorzieningen dienen:
  • in overeenstemming te zijn met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • regelmatig te worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met an-dere nutsvoorzieningen;
  • regelmatig te worden geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zo nodig, te worden voorzien van een alarmsysteem om disfunctio-neren op te sporen;
  • voor zover nodig, te beschikken over meervoudige voeding met een verschillende fysieke route.
De nutsvoorzieningen
Huisv_U.05.02 Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn. Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
Huisv_U.05.03 Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
Huisv_U.05.04 Er is redundantie voor de netwerkverbinding verkregen via meerdere routes vanaf meer dan één aanbieder. Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
Huisv_U.06.01 Apparatuur, informatie verwerkende- en opslag faciliteiten worden zodanig geplaats dat onbevoegden geen toegang toe hebben en beveiligd tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
Huisv_U.06.02 Apparatuur worden beschermd tegen bedreiging buitenaf (vb: overspanningen, blikseminslag, diefstal, weglekken van informatie door EM straling). Apparatuur wordt beschermd tegen externe bedreigingen
Huisv_U.07.01 Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
Huisv_U.07.02 Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren. Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
Huisv_U.07.03 Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is (R). Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
Huisv_U.07.04 Er worden registraties bijgehouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en correctieve onderhoud. Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
Huisv_U.07.05 Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
Huisv_U.07.06 Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert. Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
Huisv_U.08.01 Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat. Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
Huisv_U.08.02 Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
Huisv_U.09.01 In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
Huisv_U.09.02 Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten te worden geïdentificeerd. Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
Huisv_U.09.03 Aan de afwezigheid van bedrijfsmiddelen moet tijdsgrenzen worden gesteld en geverifieerd te worden of ze worden teruggebracht. Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
Huisv_U.09.04 Voor zover nodig en gepast moet het meenemen en de terugkeer van bedrijfsmiddelen te worden geregistreerd. Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
Huisv_U.09.05 De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, behoort te worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
Huisv_U.10.01 Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). Een procedure beschrijft het omgaan met verdachte brieven en pakketten
Huisv_U.10.02 Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel. Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
Huisv_U.10.03 De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. Eisen aan de laad- en loslocatie
Huisv_U.10.04 De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn. De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
Huisv_U.10.05 Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
Huisv_U.10.06 Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden. Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
Huisv_U.10.07 Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld. Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
Huisv_U.11.01 Kabels worden bij voorkeur ondergronds aangelegd. Kabels worden bij voorkeur ondergronds aangelegd
Huisv_U.11.02 De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
Huisv_U.11.03 Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
Huisv_U.12.01 Er zijn architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen die actief worden onderhouden. De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
Huisv_U.12.02 De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
Huisv_U.12.03 Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aange-past);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastge-steld/geaccordeerd.
Aan het architectuurdocument gestelde eisen
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen