Zonering: verschil tussen versies

Zonering is een eis (Beheersmaatregel) Status: Concept Realiseert Afgeleid Principe: Integriteit,Vertrouwelijkheid (principe) Specialiseert: Scheiding van systeemfuncties Thema: [[]]

Eis: De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.

Realiseert

• Integriteit
• Vertrouwelijkheid (principe)

• Scheiding van systeemfuncties

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Zonering:

1. Elke zone heeft een vastgesteld uniek beveiligingsdoel.
2. Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie (m.u.v. onvertrouwde derden).
3. Een zone heeft een gedefinieerd beveiligingsniveau. D.w.z. een zone kent een gedefinieerd stelsel van samenhangende beveiligingsmaatregelen.
4. De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone.
5. Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak.
6. Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. (BIR (Baseline Informatiebeveiliging Rijksdienst))
7. Poorten diensten en soortgelijke voorzieningen geïnstalleerd op een computer of netwerkvoorziening die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
8. Er zijn aparte zones voor Ontwikkeling, Test, Acceptatie en Productie. (BIR (Baseline Informatiebeveiliging Rijksdienst))
9. Vitale bedrijfsgegevens worden in een aparte zone geplaatst.
10. De experimenteeromgeving (laboratorium/Sand box) is een fysiek gescheiden zone.
11. Beheer van zones vindt plaats vanuit een eigen zone.
12. IT-voorzieningen (zoals mobiele clients en werkstations) die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld, worden in de externe zone (externe werkplek) gepositioneerd.
13. Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
14. Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten. Om deze reden kan lokale opslag van gegevens op de vaste schijven van werkstations (bijvoorbeeld laptops) en opslag op verwijderbare opslagmedia worden geblokkeerd.
15. Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone.
16. Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt.
17. In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan. (BIR (Baseline Informatiebeveiliging Rijksdienst))

Gerelateerde beveiligingspatronen

De volgende beveiligingspatronen zijn gerelateerd aan Zonering:

• Beschouwingsmodel zonering

Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Zonering:

• Beschouwingsmodel client
• Beschouwingsmodel draadloze netwerken
• Beschouwingsmodel netwerk
• Beschouwingsmodel printer
• Beschouwingsmodel server
• Beschouwingsmodel servervirtualisatie
• Beschouwingsmodel zonering