Vertrouwelijkheid (principe)

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 14 jun 2017 om 16:27 (met voorbeeld en relatie AP15)
Naar navigatie springen Naar zoeken springen
"Relatie Afgeleid principe 43, realiseert Basisprincipe 8"

In de NORA Gebruikersraad van 8 november 2016 is een Request for Change Beveiliging (PDF, 816 kB) aangenomen, met gevolgen voor een aantal Afgeleide principes die (mede) raken aan Beveiliging en Informatieveiligheid:

Historie NORA
Historie NORA
NB: Deze pagina maakt deel uit van de Historie van de NORA en kan verouderde informatie bevatten!'

Deze pagina en alle Basisprincipes en Afgeleide Principes van de NORA zijn per 1 januari 2023 vervallen door nieuwe Bindende Architectuurafspraken: Kernwaarden van Dienstverlening, Kwaliteitsdoelen, Architectuurprincipes en Implicaties van Architectuurprincipes. Zie voor meer informatie het RFC Bindende architectuurafspraken 2022, goedgekeurd door de NORA Gebruikersraad op 13 september 2022.

 
Afgeleide principes zijn principes die volgen uit de NORA-basisprincipes en die een verdere concretisering van die basisprincipes beogen.

Eigenschappen

IDAP43
StellingDe dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.
RationaleDe gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt.
ImplicatiesDe vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.

Fysieke en logische toegang:

  • Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld
  • Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening.
  • Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af.
  • De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit.
  • Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen.
  • Verleende toegangsrechten zijn inzichtelijk en beheersbaar.
  • De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis.

Zonering en Filtering:

  • De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld.
  • De fysieke en technische infrastructuur is opgedeeld in zones.
  • Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters').
  • Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd
VoorbeeldenOuders zijn geautoriseerd om bepaalde persoonsgegevens van hun kinderen in te zien. Zodra het kind achttien wordt verdwijnt de rechtsgrond hiervoor: het kind is volwassen. De autorisatie moet dus (automatisch) worden beëindigd.
ArchitectuurlaagInformatiearchitectuur
ArchitectuurdomeinInformatieuitwisseling
RelatieToelichtingDe gebruiker moet ook kunnen vertrouwen dat gegevens (door geautoriseerde afnemers) niet worden gebruikt voor andere doelen (AP15 Doelbinding (AP)).
Status actualiteitActueel

Relaties

VertrekpuntRelatieEindpunten
Vertrouwelijkheid (principe)Heeft bron
Vertrouwelijkheid (principe)Is gerelateerd aan
Vertrouwelijkheid (principe)Realiseert

Afgeleide relaties

VertrekpuntRelatieEindpunt
Informatie-objecten systematisch beschreven (Afgeleid principe)Is gerelateerd aanVertrouwelijkheid (principe)
Perspectief gebruiker (Afgeleid principe)Is gerelateerd aanVertrouwelijkheid (principe)
XACML (eXtensible Access Control Markup Language) (Standaard)RealiseertVertrouwelijkheid (principe)
Authenticatie (beheersmaatregel) ()RealiseertVertrouwelijkheid (principe)
Autorisatie (beheersmaatregel) ()RealiseertVertrouwelijkheid (principe)
Controle op communicatiegedrag ()RealiseertVertrouwelijkheid (principe)
Controle op gegevensuitwisseling ()RealiseertVertrouwelijkheid (principe)
Identificatie (beheersmaatregel) ()RealiseertVertrouwelijkheid (principe)
PKIoverheid (Voorziening)RealiseertVertrouwelijkheid (principe)
Scheiding van systeemfuncties ()RealiseertVertrouwelijkheid (principe)

Nederlandse Overheid Referentie Architectuur.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Overgenomen van "https://www.noraonline.nl/index.php?title=Vertrouwelijkheid_(principe)&oldid=21804"