Principes voor beveiliging: verschil tussen versies
Geen bewerkingssamenvatting |
Geen bewerkingssamenvatting |
||
Regel 1: | Regel 1: | ||
{{review | {{review beveiliging}} | ||
<br /><br /> | <br /><br /> | ||
__NOGLOSSARY__{{Beveiliging}} | __NOGLOSSARY__{{Beveiliging}} |
Versie van 27 okt 2014 17:18
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).
Contactpersonen: Annemieke de Wit en Guus van den Berg.
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Basisprincipes voor beveiliging
NORA kent twee basisprincipes voor beveiliging:
- Betrouwbaar
Afnemers kunnen erop vertrouwen dat de dienstverlener zich aan afspraken houdt. - Vertrouwelijk
Afnemers kunnen erop vertrouwen dat informatie niet wordt misbruikt.
Voorgestelde afgeleide principes voor beveiliging
Deze principes zijn in concept voor het nieuwe katern Beveiliging. Ze zijn afgeleid van de kwaliteitsprincipes voor informatiebeveiliging, en moeten de huidige principes (zie volgende paragraaf) vervangen. Elk beveiligingsprincipe schrijft voor dat in een kwaliteitskenmerk wordt voorzien. Voldoen aan deze principes impliceert dat aan een reeks beveiligings-eisen (requirements) wordt voldaan.
Bestaande afgeleide principes voor beveiliging (NORA 3.0)
Uit de beveiligingsfuncties van het NORA 3.0 dossier beveiliging zijn de onderstaande principes opgesteld. De redactie van het katern Beveiliging stelt voor om deze te vervangen door bovenstaande.
- Continuïteit van de dienst
De levering van de dienst is continu gewaarborgd. - Controle op juistheid volledigheid en tijdigheid
De betrokken systemen controleren informatie-objecten op juistheid, volledigheid en tijdigheid. - Identificatie authenticatie en autorisatie
Dienstverlener en afnemer zijn geauthenticeerd wanneer de dienst een vertrouwelijk karakter heeft - Informatiebeveiliging door zonering en filtering
De betrokken faciliteiten zijn gescheiden in zones. - Onweerlegbaarheid (principe)
De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen. - Uitgangssituatie herstellen
Wanneer de levering van een dienst mislukt, wordt de uitgangssituatie hersteld