| Implementatierichtlijn | Beheersmaatregel | Heeft bron | Specificatie bron |
|---|
| Wachtwoorden van functionele accounts worden minder frequent gewijzigd | Authenticatie (beheersmaatregel) | | |
| Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.h, BIR 11.5.3.g |
| Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassing | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.h |
| Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.a |
| De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.b |
| Automatisch aanmelden is niet toegestaan voor interactieve gebruikers | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.1.g |
| Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.b |
| Authenticatie van gebruikers plaats op basis van cryptografische techniek | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 6.2.1.d, BIR 10.8.4 f, BIR 11.4.2 |
| Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.b, BIR 11.3.1.f, BIR 11.5.3.e |
| Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.f |
| Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkers | Authenticatie (beheersmaatregel) | | |
| Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatie | Authenticatie (beheersmaatregel) | | |
| Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5 |
| Wachtwoorden voldoen aan de wachtwoordconventie | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.d, BIR 11.3.1.d, BIR 11.5.3.c, BIR 11.3.1.e, BIR 11.5.3.f |
| Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5, BIR 11.3.2.a |
| Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelen | Authenticatie (beheersmaatregel) | | |
| Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken | Identificatie (beheersmaatregel)
Authenticatie (beheersmaatregel)
Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.c |
| Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd worden | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.1.e, BIR 11.5.3.d |
| Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.a, BIR 11.5.1.c, BIR 11.5.1.d |
| Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerd | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.e |
| Werkplek voor telewerken | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.2, BIR 11.4.3 |
| Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4.c, BIR 12.4.1.b |
| Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerd | Autorisatie (beheersmaatregel) | | |
| De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeld | Autorisatie (beheersmaatregel) | | |
| Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.6.c |
| Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4e |
| Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.a |
| Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekend | Autorisatie (beheersmaatregel) | | |
| Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligd | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.2.c |
| In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.b |
| Wachtwoorden worden versleuteld over een netwerk verzonden | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.i, BIR 11.5.3.i |
| Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.a |
| Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspunten | Autorisatie (beheersmaatregel) | | |
| De toekenning van rechten aan processen en bestanden is zo minimaal mogelijk | Autorisatie (beheersmaatregel) | | |
| Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.g, BIR 11.5.3.i |
| Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd | Autorisatie (beheersmaatregel) | | |
| De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatie | Autorisatie (beheersmaatregel) | | |
| Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaien | Autorisatie (beheersmaatregel) | | |
| Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluiten | Autorisatie (beheersmaatregel) | | |
| Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheiden | Autorisatie (beheersmaatregel) | | |
| Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomen | Autorisatie (beheersmaatregel) | | |
| De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken worden | Autorisatie (beheersmaatregel) | | |
| Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5, BIR 11.5.6.a |
| De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.1.c, BIR 12.2.2.b, BIR 12.2.2.f, BIR 12.2.2.g |
| Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.b, BIR 12.2.2.g |
| Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maakt | Beheersing van verwerkingen | | |
| Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefouten | Beheersing van verwerkingen | | |
| Berichtverwerkende infrastructuur past foutloze berichtenverwerking toe | Beheersing van verwerkingen | | |
| Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanisme | Beheersing van verwerkingen | | |
| Foutbestanden worden niet gebruikt als opslagmechanisme | Beheersing van verwerkingen | | |
| Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.h |
| Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismen | Beheersing van verwerkingen | | |
| Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen | Beperking van ongebruikte functies (hardening) | | |
| Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres | Beperking van ongebruikte functies (hardening) | | |
| Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeld | Beperking van ongebruikte functies (hardening) | | |
| Beheermogelijkheden zijn zoveel mogelijk afgesloten | Beperking van ongebruikte functies (hardening) | | |
| Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismen | Beperking van ongebruikte functies (hardening) | | |
| Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.a |
| Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.b |
| Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.h |
| Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalen | Bestandscontrole | | |
| Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijk | Bestandscontrole | | |
| Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingen | Bestandscontrole | | |
| Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerd | Controle en signalering | | |
| De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM) | Controle en signalering | | |
| Er is gespecificeerd welke beveiligingsincidenten kunnen optreden | Controle en signalering | | |
| Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfuncties | Controle en signalering | | |
| Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatie | Controle en signalering | | |
| Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerd | Controle en signalering | | |
| Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingen | Controle op communicatiegedrag | | |
| De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau | Controle op communicatiegedrag | | |
| In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkeren | Controle op communicatiegedrag | | |
| Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichten | Controle op gegevensuitwisseling | | |
| De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.d |
| Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1.d |
| Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controles | Controle op gegevensuitwisseling | | |
| In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1 |
| E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage. | Controle op gegevensuitwisseling | | |
| Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd | Controle op gegevensuitwisseling | | |
| Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1.d, BIR 10.8.1.b |
| Aparte applicatietaken | Controles voor risicovolle bedrijfsprocessen | | |
| Extra audit trail | Controles voor risicovolle bedrijfsprocessen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.g |
| Controletellingen database | Controles voor risicovolle bedrijfsprocessen | | |
| Gegevensencryptie | Controles voor risicovolle bedrijfsprocessen | | |
| Gegevensrubricering tonen | Controles voor risicovolle bedrijfsprocessen | | |
| Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 15.1.6.b |
| Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 15.1.6.c |
| De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekend | Encryptie | | |
| Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaarden | Encryptie | | |
| De sleutellengte is instelbaar en voldoende groot | Encryptie | | |
| Situaties waarin encrypties dient te worden toegepast | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.6.1.c, BIR 10.9.2.c, BIR 12.2.3, BIR 10.6.1.c, BIR 11.5.3.i |
| Scheiden en afhankelijk maken van processtappen | Functie- en processcheiding | | |
| Scheiding bij massale invoer | Functie- en processcheiding | | |
| Eenduidige mutatieverantwoordelijkheden | Functie- en processcheiding | | |
| Aparte taak voor goedkeuren | Functie- en processcheiding | | |
| Dezelfde gegevens in meerdere gegevensverzamelingen | Functie- en processcheiding | | |
| Scheiding per zaak | Functie- en processcheiding | | |
| Scheiding naar inhoud van gegevens | Functie- en processcheiding | | |
| Basisscheidingen (klassieke functiescheiding) | Functie- en processcheiding | | |
| Beheer versus gebruik | Functie- en processcheiding | | |
| Stamgegevens versus mutaties | Functie- en processcheiding | | |
| De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoeren | Geautoriseerde mobiele code | | |
| Dubbele of ontbrekende bestandsuitwisseling | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
| Autorisatiebeheersysteem | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
| (Ver)sterkte authenticatie | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
| Onweerlegbaarheid juiste ontvanger en verzender | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
| Encryptie binnen of ten behoeve van een applicatie | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
| Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier. | Handhaven technische functionaliteit | | |
| Technische integriteit programmapakketten | Handhaven technische functionaliteit | | |
| Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen. | Handhaven technische functionaliteit | | |
| Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur | Handhaven technische functionaliteit | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.5.3.a, BIR 12.5.3.b, BIR 12.5.3.c, BIR 12.5.3.d |
| Instellingen in overeenstemming met inrichtingsdocument | Handhaven technische functionaliteit | | |
| Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument. | Handhaven technische functionaliteit | | |
| Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. | Handhaven technische functionaliteit | | |
| Er is voldoende buffering van tussenbestanden bij langere verwerkingsketens | Herstellen van verwerkingen | | |
| Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismen | Herstellen van verwerkingen | | |
| Voorzieningen op het gebied van automatic fail-over en load balancing | Herstellen van verwerkingen | | |
| Afstand tussen locaties | Herstellen van verwerkingen | | |
| Routines voor back-up en recovery | Herstellen van verwerkingen | | |
| Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerking | Herstellen van verwerkingen | | |
| De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatie | Herstellen van verwerkingen | | |
| Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoond | Identificatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.g |
| Het gebruik van speciale beheeraccounts is uitgeschakeld | Identificatie (beheersmaatregel) | | |
| Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten melden | Identificatie (beheersmaatregel) | | |
| Unieke identificatie | Identificatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.2, BIR 11.5.3.a |
| Vrijgesteld van identificatie | Identificatie (beheersmaatregel) | | |
| Systeemprocessen draaien onder een eigen gebruikersnaam | Identificatie (beheersmaatregel) | | |
| Gebruikersnaam beheer | Identificatie (beheersmaatregel) | | |
| Er is een betrouwbare berichtendienst in het besloten netwerkverkeer | Integriteitscontrole van het bericht
Wederzijdse authenticatie | | BIR 10.8.4.a, BIR 10.8.4.b, BIR10.8.4.c |
| PKI bij een onvertrouwd netwerk | Integriteitscontrole van het bericht
Wederzijdse authenticatie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.9.2.a, BIR 10.9.2.b, BIR 10.9.2.d, BIR 10.9.2.f, BIR 10.8.4.a, BIR 10.8.4.b, BIR 10.8.4.c, BIR 10.8.4.d, BIR 12.2.3 |
| Invoer aan de bron | Invoercontrole | | |
| Verplichte veldinvulling bij kritische gegevens | Invoercontrole | | |
| Onderscheid in invoeren wijzigen en verwijderen | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.a |
| Voortgangscontrole | Invoercontrole | | |
| Voorinvullen e-formulieren | Invoercontrole | | |
| Default waarden | Invoercontrole | | |
| Validatie/ bestaanbaarheid/ relatie | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.a, BIR 12.2.2.d |
| Batch- en hashtotals | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
| Terugmelden invoer klantgegevens | Invoercontrole | | |
| Controlegetal | Invoercontrole | | |
| Weigeren invoer per batch | Invoercontrole | | |
| Klant inschakelen | Invoercontrole | | |
| Voorkomen dubbele invoer | Invoercontrole | | |
| Signaleren invoer | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.e |
| Volledigheid (en juistheid) inzending berichten | Invoercontrole | | |
| Correctiemogelijkheden | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.c |
| Terugmelden omschrijving | Invoercontrole | | |
| Volledigheid invoer-volgorde controle | Invoercontrole | | |
| Vastleggen verwerkingsdatum | Invoercontrole | | |
| Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissen | Rapportering | | |
| Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periode | Rapportering | | |
| Uitsluitend geautoriseerde processen mogen logregels schrijven | Registratie (logging) | | |
| Systeemklokken worden tijdens openstelling gesynchroniseerd | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.6 |
| Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.3.c |
| Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers | Registratie (logging) | | |
| In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden | Registratie (logging) | | |
| Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongen | Registratie (logging) | | |
| Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderen | Registratie (logging) | | |
| Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen | Registratie (logging) | | |
| Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijn | Registratie (logging) | | |
| Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologie | Registratie (logging) | | |
| Handelingen op te nemen in de logging | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.6.1.d, BIR 10.10.1.a-l, BIR 11.5.4.f |
| Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatie | Registratie (logging) | | |
| De volledigheid van de logging kan worden vastgesteld | Registratie (logging) | | |
| In een logregel weg te schrijven informatie | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.4.a, BIR 10.10.4.b, BIR 10.10.4.c, BIR 10.10.4.d |
| Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log | Registratie (logging) | | |
| Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutels | Sleutelbeheer | | |
| Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardware | Sleutelbeheer | | |
| Cryptohardware is tamper-resistant | Sleutelbeheer | | |
| Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principe | Sleutelbeheer | | |
| Cryptografische sleutels en certificaten kennen een geldigheidstermijn | Sleutelbeheer | | |
| Controletellingen batchverwerking | Uitvoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
| Afdrukken selectiecriteria bij uitvoerlijsten | Uitvoercontrole | | |
| Voldoende mogelijkheden tot informatievoorziening | Uitvoercontrole | | |
| Geleidelijsten | Uitvoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
| Volledigheid verzending berichten | Uitvoercontrole | | |
| Uitvoer alleen van noodzakelijke gegevens | Uitvoercontrole | | |
| Volledigheid uitvoer | Uitvoercontrole | | |
| Maken afdruk van gegevens van een post of zaak | Uitvoercontrole | | |
| Volledigheid uitvoerlijsten zelf | Uitvoercontrole | | |
| Wettelijke eisen | Uitvoercontrole | | |
| Fysieke scheiding IT-voorzieningen | Vermeervoudiging van systeemfuncties | | |
| IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baseren | Vermeervoudiging van systeemfuncties | | |
| Snelle beschikbaarheid van reserve-voorzieningen | Vermeervoudiging van systeemfuncties | | |
| Uitwijkcontracten | Vermeervoudiging van systeemfuncties | | |
| Dubbele uitvoering van voorzieningen | Vermeervoudiging van systeemfuncties | | |
| Bewaartermijn audit trail | Verwerkingsbeheersing | | |
| Transactionele integriteit in lange ketens van verwerking | Verwerkingsbeheersing | | |
| Handmatige bestandscorrecties | Verwerkingsbeheersing | | |
| Informatieverstrekking aan derden | Verwerkingsbeheersing | | |
| Controletellingen | Verwerkingsbeheersing | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2, BIR 12.2.2.a, BIR 12.2.2.b, BIR 12.2.4.b |
| Inhoud audit trail | Verwerkingsbeheersing | | |
| Toepassen logistiek model | Verwerkingsbeheersing | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.4.b |
| Raadpleegbaarheid audit trail | Verwerkingsbeheersing | | |
| Schonen audit trail | Verwerkingsbeheersing | | |
| Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingen | Voorspellen en signaleren van onderbrekingen | | |
| Overschrijdingen van drempelwaarden worden doorgegeven aan een Event Console | Voorspellen en signaleren van onderbrekingen | | |
| Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resources | Voorspellen en signaleren van onderbrekingen | | |
| Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone | Zonering | | |
| De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone | Zonering | | |
| De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zone | Zonering | | |
| Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt | Zonering | | |
| Beheer van zones vindt plaats vanuit een eigen zone | Zonering | | |
| Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak | Zonering | | |
| In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.9.3.d |
| IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerd | Zonering | | |
| Zones kunnen worden onderscheiden door gebruikmaking van | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.7 |
| Elke zone heeft een vastgesteld uniek beveiligingsdoel | Zonering | | |
| Vitale bedrijfsgegevens worden in een aparte zone geplaatst | Zonering | | |
| Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.2 |
| Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.4 |
| Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie | Zonering | | |
| Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten | Zonering | | |
| Een zone heeft een gedefinieerd beveiligingsniveau | Zonering | | |
| Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4.b |
