ISOR (Information Security Object Repository): verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (typo verwijderd)
k (kolom toegevoegd aan de tabel met normenkaders)
(48 tussenliggende versies door 4 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{Uitgelicht|De ISOR is volop in bewerking. De BIO Thema-uitwerkingen hebben inmiddels een versie 2.0 bereikt. Deze updates betreffen in de kern de structurering in en tussen de BIO Thema-uitwerkingen. In de 2.1 versies zal de focus op de verdere structurering en de optimalisering van de objectdefinities liggen. Op BIO Thema-uitwerking Clouddiensten na zijn alle BIO Thema-uitwerkingen in versie 2.1 in de ISOR ontsloten.}}
{{Kaderrechtssmal|[[Afbeelding:ISOR.png|center|thumb|200px|alt=Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)|]]De ISOR wordt beheerd door het [[Heeft beheerder::Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]].<br>Contactpersonen:
* [[Gebruiker:Annemiekedewit|Annemieke de Wit]]<br>
: → {{Maillink|to=annemieke.dewit@cip-overheid.nl|cc=CIP@cip-overheid.nl|text=annemieke.dewit@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
* [[Gebruiker:GvdB|Guus van den Berg]]<br>
: → {{Maillink|to=guus.vandenberg@cip-overheid.nl|cc=CIP@cip-overheid.nl|text=guus.vandenberg@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
* [[Gebruiker:Hasan ALkhatib|Hasan Alkhatib]]<br>
: → {{Maillink|to=hasan.alkhatib@cip-overheid.nl|cc=CIP@cip-overheid.nl|text=hasan.alkhatib@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
}}
De ISOR is een verzameling themagerichte normenkaders die hulp bieden bij de implementatie van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Zij geven gedetailleerd aan hoe een organisatie kan voldoen aan de BIO. De ISOR wordt beheerd door het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. Heb je vragen, toevoegingen, suggesties of anderszins, neem dan contact op met het CIP.


{{Kaderrechtssmal|[[Afbeelding:ISOR.png|center|thumb|200px|alt=Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)|]]De ISOR wordt beheerd door het [[Heeft beheerder::Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]].<br>Contactpersoon: Annemieke de Wit<br>
: → {{Maillink|to=annemieke.dewit@cip-overheid.nl|cc=CIP@UWV.nl|text=annemieke.dewit@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
}}
Om de informatieveiligheid bij alle bestuurslagen van de overheid te verhogen is sinds 1 januari 2019 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Rijk, Gemeenten, Waterschappen en Provincies (BIR, BIR2017, BIG, BIWA en IBI). Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.


==Werkingsgebied ISOR==
==Werkingsgebied ISOR==
Op het gebied van informatieveiligheid spelen de normenkaders [[NEN-ISO/IEC 27001|ISO 27001]] en [[NEN-ISO/IEC 27002|ISO 27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijksdienst (BIR)]] ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|(BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|(BIWA)]] en provincies [[IBI (Interprovinciale Baseline Informatiebeveiliging)|(IBI)]]. Die baselines bepalen een basisniveau voor de informatieveiligheid.
Op het gebied van informatiebeveiliging spelen de normenkaders [[NEN-ISO/IEC 27001|ISO 27001]] en [[NEN-ISO/IEC 27002|ISO 27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijksdienst (BIR)]] ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|Baseline Informatiebeveiliging Gemeenten (BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|Baseline Informatiebeveiliging Waterschappen (BIWA)]] en provincies [[IBI (Interprovinciale Baseline Informatiebeveiliging)|Interprovinciale Baseline Informatiebeveiliging (IBI)]]. Die baselines bepalen een basisniveau voor de informatiebeveiliging.
 


Een proces van convergentie heeft geleid tot de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]], één baseline voor de gehele overheid. Een PDF-versie is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio]. De BIO beschrijft het strategisch-tactische niveau.


Een proces van convergentie heeft geleid tot de BIO. De BIO vervangt de BIR, BIG, BIWA en IBI. Hiermee is één gezamenlijk normenkader ontstaan voor informatiebeveiliging, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatieveiligheid bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de BIO wettelijk van kracht. Een PDF-versie van de BIO is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio]. De BIO beschrijft het strategisch-tactische niveau.


Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]], onder de naam [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen]. Voorbeelden van BIO Thema-uitwerkingen zijn clouddiensten en toegangsbeveiliging.


 
Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]], onder de naam [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen]. Deze BIO Thema-uitwerkingen ('Normenkaders'), worden ontsloten in de ISOR. De ISOR is een bibliotheek van normenkaders voor te beveiligen informatiebeveiligingsobjecten. Voorbeelden van BIO Thema-uitwerkingen zijn 'Clouddiensten' en 'Toegangsbeveiliging'.
Deze BIO Thema-uitwerkingen, onder de naam 'Normenkaders', worden ontsloten in de ISOR. De ISOR is een bibliotheek onderverdeeld in normenkaders met informatiebeveiligingsobjecten (in de ISOR beveiligingsprincipe genoemd) die ontworpen, beveiligd en beoordeeld moeten worden. De ISOR wordt beheerd door het CIP.


==Methode en indeling ISOR==
==Methode en indeling ISOR==
Alle [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen] in de ISOR zijn geschreven volgens de [[Gebruikt::SIVA-methode]]. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk.  
Alle [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen] in de ISOR zijn geschreven volgens de [[Gebruikt::SIVA-methode|SIVA-methodiek]]. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode biedt een syntax voor overzichtelijke, eenduidige formulering van normen. Hierdoor zijn de beveiligingsprincipes eenduidig verstaanbaar en concreet toetsbaar, waarmee een praktische, concrete invulling van de BIO wordt geboden.
Een BIO thema-uitwerking behandelt op deze wijze de normen binnen een afgebakend gebied, ingedeeld in een van de drie aspecten ('domeinen'): [[Beveiligingsaspect Beleid|beleid]], [[Beveiligingsaspect Uitvoering|uitvoering]] en [[Beveiligingsaspect Control|control]].




Door deze methode zijn beveiligingsprincipes (in de BIO Thema-uitwerkingen genoemd objecten) eenduidig verstaanbare normen (in de BIO Thema-uitwerkingen genoemd maatregelen), die de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] concreet invullen. Elk criteria (in de BIO Thema-uitwerking genoemd control) is voorzien van een aantal [[Conformiteitsindicatoren]], waarmee je kunt toetsen of aan de norm voldaan wordt.
De BIO Thema-uitwerkingen hanteren termen die binnen NORA online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:
* Thema (BIO Thema-uitwerking) = normenkader (ISOR)
* Domein (BIO Thema-uitwerking) = normenkaderaspect (ISOR)
* Object (BIO Thema-uitwerking) = beveiligingsprincipe of principe (ISOR)
* Control (BIO Thema-uitwerking) = criterium (ISOR)
* Maatregel (BIO Thema-uitwerking) = norm of stelling (ISOR)


==In ISOR ontsloten normenkaders==
Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO Thema-uitwerkingen ook de [[Privacy Baseline]]. Voor de Privacy Baseline zijn de privacyprincipes uit de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid. Omdat ook de privacyprincipes zijn geformuleerd volgens de SIVA-methodiek en omdat het begrip 'informatiebeveiliging' nu is verbreed tot 'informatieveiligheid', past de Privacy Baseline ook om die redenen in de verzameling.


Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, genoemd normenkaders (in het themadocument genoemd thema's). Een thema is een afgebakend gebied. Elk normenkader bevat objecten, ingedeeld in een van de drie aspecten (in het themadocument genoemd domein):  [[Beveiligingsaspect Beleid|beleid]], [[Beveiligingsaspect Uitvoering|uitvoering]] en [[Beveiligingsaspect Control|control]].


De onderstaande tabel is ook beschikbaar als {{#ask:[[Elementtype::Normenkader]][[Status actualiteit::Actueel]]
| ?ID
| ?Publicatiedatum
| format=csv
| limit=30
| headers=show
| mainlabel=-
| link=all
| searchlabel=csv download
| sep=,
}}.
{{#ask:[[Elementtype::Normenkader]]
| ?ID
| ?Publicatiedatum
| ?Status actualiteit
| format=sortable mediawiki
| sort=Titel
| limit=20
| Mainlabel=Normenkader
}}


De BIO Thema-uitwerkingen hanteren termen die door de NORA online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:
* Thema (BIO Thema-uitwerking) = normenkader (ISOR)
* Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
* Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
* Control (BIO Thema-uitwerking) = criteria (ISOR)
* Maatregel (BIO Thema-uitwerking) = norm (ISOR)
==In de ISOR ontsloten normenkaders==
Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de [[Privacy Baseline]]. Voor de Privacy Baseline zijn de privacyprincipes uit de wet [[AVG]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid.
In de ISOR zijn de volgende normenkaders ontsloten:
{{#ask:[[Categorie:normenkaders]][[Status actualiteit::Actueel]]
|format=ul
|limit=70
|headers=show
|mainlabel=
|link=all
|default=Er zijn nog geen normenkaders gepubliceerd
}}
==Alle ISOR-overzichtspagina's==
==Alle ISOR-overzichtspagina's==
Naast de ontsloten normenkaders zijn er voor de gebruiker de volgende overzichten beschikbaar:
Naast normenkaders zijn de volgende overzichten beschikbaar:
{{#ask:[[Categorie:ISOR]][[Categorie:Overzichten]]
{{#ask:[[Categorie:ISOR]][[Categorie:Overzichten]]
|?
|?
Regel 57: Regel 68:
|default=Er zijn nog geen overzichten gedefinieerd binnen ISOR
|default=Er zijn nog geen overzichten gedefinieerd binnen ISOR
}}[[Categorie:NORA-instrumenten]]
}}[[Categorie:NORA-instrumenten]]
[[Categorie:ISOR]][[Categorie:Tekstpagina's ISOR]]

Versie van 23 jun 2022 16:12

De ISOR is volop in bewerking. De BIO Thema-uitwerkingen hebben inmiddels een versie 2.0 bereikt. Deze updates betreffen in de kern de structurering in en tussen de BIO Thema-uitwerkingen. In de 2.1 versies zal de focus op de verdere structurering en de optimalisering van de objectdefinities liggen. Op BIO Thema-uitwerking Clouddiensten na zijn alle BIO Thema-uitwerkingen in versie 2.1 in de ISOR ontsloten.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
De ISOR wordt beheerd door het CIP.
Contactpersonen:
annemieke.dewit@cip-overheid.nl
guus.vandenberg@cip-overheid.nl
hasan.alkhatib@cip-overheid.nl

De ISOR is een verzameling themagerichte normenkaders die hulp bieden bij de implementatie van de Baseline Informatiebeveiliging Overheid (BIO). Zij geven gedetailleerd aan hoe een organisatie kan voldoen aan de BIO. De ISOR wordt beheerd door het CIP (Centrum Informatiebeveiliging en Privacybescherming). Heb je vragen, toevoegingen, suggesties of anderszins, neem dan contact op met het CIP.


Werkingsgebied ISOR[bewerken]

Op het gebied van informatiebeveiliging spelen de normenkaders ISO 27001 en ISO 27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de Baseline Informatiebeveiliging Rijksdienst (BIR) ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten Baseline Informatiebeveiliging Gemeenten (BIG), waterschappen Baseline Informatiebeveiliging Waterschappen (BIWA) en provincies Interprovinciale Baseline Informatiebeveiliging (IBI). Die baselines bepalen een basisniveau voor de informatiebeveiliging.


Een proces van convergentie heeft geleid tot de BIO. De BIO vervangt de BIR, BIG, BIWA en IBI. Hiermee is één gezamenlijk normenkader ontstaan voor informatiebeveiliging, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatieveiligheid bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de BIO wettelijk van kracht. Een PDF-versie van de BIO is te vinden op cip.overheid.nl/producten/bio. De BIO beschrijft het strategisch-tactische niveau.


Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het CIP (Centrum Informatiebeveiliging en Privacybescherming), onder de naam BIO Thema-uitwerkingen. Deze BIO Thema-uitwerkingen ('Normenkaders'), worden ontsloten in de ISOR. De ISOR is een bibliotheek van normenkaders voor te beveiligen informatiebeveiligingsobjecten. Voorbeelden van BIO Thema-uitwerkingen zijn 'Clouddiensten' en 'Toegangsbeveiliging'.

Methode en indeling ISOR[bewerken]

Alle BIO Thema-uitwerkingen in de ISOR zijn geschreven volgens de SIVA-methodiek. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode biedt een syntax voor overzichtelijke, eenduidige formulering van normen. Hierdoor zijn de beveiligingsprincipes eenduidig verstaanbaar en concreet toetsbaar, waarmee een praktische, concrete invulling van de BIO wordt geboden. Een BIO thema-uitwerking behandelt op deze wijze de normen binnen een afgebakend gebied, ingedeeld in een van de drie aspecten ('domeinen'): beleid, uitvoering en control.


De BIO Thema-uitwerkingen hanteren termen die binnen NORA online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:

  • Thema (BIO Thema-uitwerking) = normenkader (ISOR)
  • Domein (BIO Thema-uitwerking) = normenkaderaspect (ISOR)
  • Object (BIO Thema-uitwerking) = beveiligingsprincipe of principe (ISOR)
  • Control (BIO Thema-uitwerking) = criterium (ISOR)
  • Maatregel (BIO Thema-uitwerking) = norm of stelling (ISOR)

In ISOR ontsloten normenkaders[bewerken]

Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO Thema-uitwerkingen ook de De Privacy Baseline. Voor de Privacy Baseline zijn de privacyprincipes uit de Algemene Verordening Gegevensbescherming (AVG) gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid. Omdat ook de privacyprincipes zijn geformuleerd volgens de SIVA-methodiek en omdat het begrip 'informatiebeveiliging' nu is verbreed tot 'informatieveiligheid', past de Privacy Baseline ook om die redenen in de verzameling.


De onderstaande tabel is ook beschikbaar als csv download.

NormenkaderIDPublicatiedatumStatus actualiteit
BIO Thema-uitwerking ApplicatieontwikkelingAPO29 oktober 2021Actueel
BIO Thema-uitwerking ClouddienstenCLD29 oktober 2021Actueel
BIO Thema-uitwerking CommunicatievoorzieningenCVZ29 oktober 2021Actueel
BIO Thema-uitwerking Huisvesting InformatievoorzieningenHVI29 oktober 2021Actueel
BIO Thema-uitwerking MiddlewareMDW18 april 2024Concept
BIO Thema-uitwerking ServerplatformSVP25 oktober 2021Actueel
BIO Thema-uitwerking SoftwarepakkettenSWP29 oktober 2021Actueel
BIO Thema-uitwerking ToegangsbeveiligingTBV29 oktober 2021Actueel
De Privacy BaselinePRIV16 oktober 2017Actueel
Grip op Secure Software DevelopmentSSD20 juli 2020Concept
Housing-NormenkaderHousUitgefaseerd

Alle ISOR-overzichtspagina's[bewerken]

Naast normenkaders zijn de volgende overzichten beschikbaar:

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Nederlandse Overheid Referentie Architectuur.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR_(Information_Security_Object_Repository)&oldid=62139"