BIO Thema Communicatievoorzieningen
Uit NORA Online
BIO Thema Communicatievoorzieningen
 Dit Normenkader is deel van ISOR.
| |||||||||||||
Binnen dit normenkader
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema Communicatievoorzieningen
Alle onderdelen van BIO Thema Communicatievoorzieningen zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.
De principes en onderliggende normen van BIO Thema Communicatievoorzieningen zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema Communicatievoorzieningen
In deze tabel staan alle principes uit BIO Thema Communicatievoorzieningen, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid
| ID | Criterium | |
|---|---|---|
| CommVZ_B.01 | Beleid en procedures informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
| CommVZ_B.02 | Overeenkomsten over informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. |
| CommVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd. |
| CommVZ_B.04 | Organisatiestructuur van netwerkbeheer | In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan. |
Uitvoering
| ID | Criterium | |
|---|---|---|
| CommVZ_U.01 | Richtlijnen netwerkbeveiliging | Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2). |
| CommVZ_U.02 | Beveiligde inlogprocedure | Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure. |
| CommVZ_U.03 | Netwerk beveiligingsbeheer | Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. |
| CommVZ_U.04 | Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. |
| CommVZ_U.05 | Beveiliging netwerkdiensten | Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. |
| CommVZ_U.06 | Zonering en filtering | Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen). |
| CommVZ_U.07 | Elektronische berichten | InformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd. |
| CommVZ_U.08 | Toepassingen via openbare netwerken | InformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. |
| CommVZ_U.09 | Gateway/Firewall | De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten. |
| CommVZ_U.10 | Virtual Private Networks (VPN) | Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt. |
| CommVZ_U.11 | Cryptografische Services | Ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet. |
| CommVZ_U.12 | Wireless Access | Draadloos verkeer behoort te worden beveiligd met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie. |
| CommVZ_U.13 | Netwerkconnecties | Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt. |
| CommVZ_U.14 | Netwerkauthenticatie | 'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen. |
| CommVZ_U.15 | Netwerkbeheer activiteit | Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. |
| CommVZ_U.16 | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s). |
| CommVZ_U.17 | Netwerk beveiligingsarchitectuur | Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden. |
Control
| ID | Criterium | |
|---|---|---|
| CommVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. |
| CommVZ_C.02 | Netwerk security compliancy checking | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks). |
| CommVZ_C.03 | Evalueren netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. |
| CommVZ_C.04 | Evalueren netwerk monitoring | Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. |
| CommVZ_C.05 | Beheerorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema Communicatievoorzieningen. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control)
en in uitgebreide versie.
Beleid
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CommVZ_B.01.1 | beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
| CommVZ_B.01.2 | beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. |
Beleid of richtlijnen omschrijven het toepassen van cryptografie |
| CommVZ_B.01.3 | beleidsregels | Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
| CommVZ_B.01.4 | procedures | Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging. | Procedures beschrijven het beveiligen van informatie |
| CommVZ_B.01.5 | procedures | Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1). | Procedures beschrijven het opsporen van en beschermen tegen malware |
| CommVZ_B.01.6 | procedures | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
| CommVZ_B.01.7 | beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | E-mail berichten worden conform vastgelegde procedures en richtlijnen doorgestuurd |
| CommVZ_B.02.1 | overeenkomsten | Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
|
Elementen in overeenkomsten over informatietransport |
| CommVZ_B.02.2 | overeenkomsten | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn. | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
| CommVZ_B.03.1 | cryptografiebeleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
|
In het cryptografiebeleid uitgewerkte onderwerpen |
| CommVZ_B.03.2 | cryptografiebeleid | Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
|
Aanvullende onderdelen in het cryptografiebeleid |
| CommVZ_B.04.1 | organisatiestructuur | In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement). | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
| CommVZ_B.04.2 | organisatiestructuur | De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. |
De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
| CommVZ_B.04.3 | organisatiestructuur | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Taken en verantwoordelijkheden van verantwoordelijke functionarissen zijn duidelijk gedefinieerd |
Uitvoering
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CommVZ_U.01.1 | ontwerp | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
|
Stappen ter voorbereiding van veilige netwerkontwerpen |
| CommVZ_U.01.2 | ontwerp | Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
| CommVZ_U.01.3 | ontwerp | Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. |
Netwerkbeveiliging is gebaseerd op ITU-T X.80x |
| CommVZ_U.01.4 | ontwerp | Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten |
| CommVZ_U.01.5 | implementatie | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat |
| CommVZ_U.01.6 | beheer | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden |
| CommVZ_U.02.1 | inlogprocedure | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. | Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers |
| CommVZ_U.02.2 | inlogprocedure | Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. |
Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
| CommVZ_U.02.3 | inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
|
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers |
| CommVZ_U.03.1 | beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
| CommVZ_U.03.2 | beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
| CommVZ_U.03.3 | beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. | Beheeractiviteiten worden nauwgezet gecoördineerd |
| CommVZ_U.03.4 | beheerd | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld |
| CommVZ_U.03.5 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
| CommVZ_U.03.6 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
| CommVZ_U.04.1 | vertrouwelijkheids- of geheimhoudingsovereenkomsten | Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
|
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| CommVZ_U.05.1 | beheereisen | Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen. |
Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
| CommVZ_U.05.2 | dienstverleningsniveaus | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
| CommVZ_U.05.3 | beveiligingsmechanismen | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen |
| CommVZ_U.05.4 | dienstverleningsniveaus | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
|
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd |
| CommVZ_U.05.5 | beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
| CommVZ_U.05.6 | beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
|
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
| CommVZ_U.06.01 | gescheiden (in domeinen) | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau |
| CommVZ_U.06.02 | gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
| CommVZ_U.06.03 | gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router). |
Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
| CommVZ_U.06.04 | gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
| CommVZ_U.07.1 | passend | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. | Vastgestelde standaarden tegen phishing en afluisteren gelden voor de elektronische berichten |
| CommVZ_U.07.2 | passend | Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling. | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
| CommVZ_U.07.3 | passend | Bij web- en mailverkeer van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. |
Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
| CommVZ_U.07.4 | passend | Voor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie). | Gebruik van AdES Baseline Profile standaard of ETSI TS 102 176-1 voor elektronische berichten |
| CommVZ_U.07.5 | passend | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
|
Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
| CommVZ_U.08.1 | openbare netwerken | Met communicerende partijen worden afspraken gemaakt over:
|
Met communicerende partijen worden afspraken gemaakt |
| CommVZ_U.09.1 | filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Voor elke gateway of firewall bestaat een actueel configuratiedocument |
| CommVZ_U.09.2 | filterfunctie | De filterfunctie van gateways en firewalls is instelbaar. | De filterfunctie van gateways en firewalls is instelbaar |
| CommVZ_U.09.3 | filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM. | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM |
| CommVZ_U.09.4 | toegestaan netwerkverkeer | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten |
| CommVZ_U.10.1 | gescheiden end-to-end connectie | De end-to-end connectie:
|
De end-to-end connectie |
| CommVZ_U.11.1 | vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen |
Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie. |
Versleuteling wordt toegepast voor het waarborgen van de vertrouwelijkheid |
| CommVZ_U.11.2 | integriteit | Voor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
|
Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
| CommVZ_U.11.3 | integriteit | Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
| CommVZ_U.11.4 | cryptografische beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
|
Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden |
| CommVZ_U.12.1 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling |
Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
|
Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
| CommVZ_U.13.1 | verbindingen | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
|
Voor de beheersing van netwerken worden minimumeisen |
| CommVZ_U.13.2 | bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd. | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd |
| CommVZ_U.14.1 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes |
Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS). |
Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd |
| CommVZ_U.14.2 | authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodes |
Alleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x). | Alleen specifiek toegestane netwerkdevices worden gekoppeld met aanwezige clients en informatiesystemen |
| CommVZ_U.15.1 | beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
|
Netwerkbeveiligingsbeheer omvat activiteiten methoden procedures en gereedschappen voor administratie |
| CommVZ_U.15.2 | beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. |
Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken |
| CommVZ_U.16.1 | geregistreerd en bewaard | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.) worden geregistreerd en vastgelegd in auditlogs. |
Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs |
| CommVZ_U.16.2 | beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen |
| CommVZ_U.17.1 | samenhang | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem. |
De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem |
| CommVZ_U.17.2 | samenhang | De beveiligingsarchitectuur is gelaagd, zoals:
|
De beveiligingsarchitectuur is gelaagd |
| CommVZ_U.17.3 | samenhang | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden. | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden |
Control
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| CommVZ_C.01.1 | naleving | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
|
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
| CommVZ_C.02.1 | periodiek | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s |
| CommVZ_C.02.2 | inrichting | De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
|
Checklist voor veilige inrichting van netwerk(diensten) |
| CommVZ_C.02.3 | verantwoordelijk | Resultaten worden gerapporteerd aan het verantwoordelijke management. | Resultaten worden gerapporteerd aan het verantwoordelijke management |
| CommVZ_C.03.1 | robuustheid | De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
|
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
| CommVZ_C.04.1 | onderzoek van gebeurtenissen | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
|
Zeer belangrijke onderdelen van netwerkbeveiliging |
| CommVZ_C.04.2 | onderzoek van gebeurtenissen | Continue bewaking via monitoring legt de volgende informatie vast:
|
Continue bewaking via monitoring |
| CommVZ_C.05.1 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
| CommVZ_C.05.2 | Verantwoordelijkheden | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
|
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
