BIO Thema Communicatievoorzieningen

Uit NORA Online
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.
ID: CommVZ
Normenkader
Versie: 1.0
Status: Actueel
Publicatiedatum: 01-02-2019
Redactionele wijzigingsdatum: 01-02-2019

Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Communicatievoorzieningen

Alle onderdelen van BIO Thema Communicatievoorzieningen zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Communicatievoorzieningen zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Communicatievoorzieningen

In deze tabel staan alle principes uit BIO Thema Communicatievoorzieningen, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

IDPrincipeCriterium
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.

Beleid (principes)

export principes Uitvoering als csv

IDPrincipeCriterium
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.

Beleid (principes)

export principes Control als csv

IDPrincipeCriterium
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Communicatievoorzieningen. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid (normen)

export normen Beleid als csv

IDtrefwoordStellingNorm
CommVZ_B.01.1beleidsregelsBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CommVZ_B.01.2beleidsregelsBeleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
CommVZ_B.01.3beleidsregelsBeleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CommVZ_B.01.4proceduresProcedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
CommVZ_B.01.5proceduresProcedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Procedures beschrijven het opsporen van en beschermen tegen malware
CommVZ_B.01.6proceduresProcedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CommVZ_B.01.7beheersmaatregelenE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CommVZ_B.02.1overeenkomstenOvereenkomsten over informatietransport bevatten o.a. de volgende elementen:
  1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
  5. acceptabele niveaus van toegangsbeveiliging.
Elementen in overeenkomsten over informatietransport
CommVZ_B.02.2overeenkomstenIn de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CommVZ_B.03.1cryptografiebeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
    		• In het cryptografiebeleid uitgewerkte onderwerpen
    CommVZ_B.03.2cryptografiebeleidAanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld;
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
    		• Aanvullende onderdelen in het cryptografiebeleid
    CommVZ_B.04.1organisatiestructuurIn de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CommVZ_B.04.2organisatiestructuurDe beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CommVZ_B.04.3organisatiestructuurDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd

    Uitvoering (normen)

    export normen Uitvoering als csv

    IDtrefwoordStellingNorm
    CommVZ_U.01.1ontwerpDe voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
    1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
    2. inventarisatie van de functionele eisen;
    3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
    4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
    5. evaluatie van bestaande ontwerpen en implementaties.
    		Stappen ter voorbereiding van veilige netwerkontwerpen
    CommVZ_U.01.2ontwerpLeidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak".Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
    CommVZ_U.01.3ontwerpRobuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen.Netwerkbeveiliging is gebaseerd op ITU-T X.80x
    CommVZ_U.01.4ontwerpNetwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
    CommVZ_U.01.5implementatieNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
    CommVZ_U.01.6beheerDe implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8.Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
    CommVZ_U.02.1inlogprocedureVoor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend.Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
    CommVZ_U.02.2inlogprocedureAls vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
    CommVZ_U.02.3inlogprocedureToegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  • remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  • versterkte authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., voor toepassingen waarbij de ‘standaard’ authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van gebruikers (en applicaties) kan worden gecompromitteerd;
  • Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
    		• Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
    CommVZ_U.03.1beheerdVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
    CommVZ_U.03.2beheerdNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
    CommVZ_U.03.3beheerdBeheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast.Beheeractiviteiten worden nauwgezet gecoördineerd
    CommVZ_U.03.4beheerdTer bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld.Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
    CommVZ_U.03.5beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden.De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
    CommVZ_U.03.6beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
    CommVZ_U.04.1vertrouwelijkheids- of geheimhoudingsovereenkomstenTen aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  • de looptijd van een overeenkomst;
  • de benodigde acties bij beëindiging;
  • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  • hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  • de acties in geval van schending van de overeenkomst;
  • de privacyregelgeving (UAVG en AVG/GDPR).
    		• Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
    CommVZ_U.05.1beheereisenHet dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen.Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
    CommVZ_U.05.2dienstverleningsniveausBij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
    CommVZ_U.05.3beveiligingsmechanismenBij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven.Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
    CommVZ_U.05.4dienstverleningsniveausHet dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • vereiste performance en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van het netwerk;
    • toegestane verbindingstypen;
    • toegestane netwerkprotocollen;
    • toegepaste applicaties op de te leveren netwerkservices;
    • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    		Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
    CommVZ_U.05.5beveiligingsmechanismenDe noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
    CommVZ_U.05.6beveiligingsmechanismenBeveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
    		• Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
    CommVZ_U.06.01gescheiden (in domeinen)Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
    CommVZ_U.06.02gescheiden (in domeinen)Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
    CommVZ_U.06.03gescheiden (in domeinen)Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router).Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
    CommVZ_U.06.04gescheiden (in domeinen)Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen.Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
    CommVZ_U.07.1passendVoor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
    CommVZ_U.07.2passendVoor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
    CommVZ_U.07.3passendBij web- en mailverkeer van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
    CommVZ_U.07.4passendVoor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie).Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
    CommVZ_U.07.5passendVoor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema van de organisatie;
  • correcte adressering en transport van het bericht waarborgen;
  • herstelbaarheid van onderbroken communicatie en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de dienst;
  • wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • toestemming verkrijgen van het verantwoordelijk management en gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
  • 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. voor toegang vanuit openbaar toegankelijke netwerken.
    		• Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
    CommVZ_U.08.1openbare netwerkenMet communicerende partijen worden afspraken gemaakt over:
  • wederzijdse authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.;
  • bevoegdheden voor gebruik van de dienst;
  • integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst;
  • passende verificatie voor de controle van de transactie.
    		• Met communicerende partijen worden afspraken gemaakt
    CommVZ_U.09.1filterfunctieVoor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Voor elke gateway of firewall bestaat een actueel configuratiedocument
    CommVZ_U.09.2filterfunctieDe filterfunctie van gateways en firewalls is instelbaar.De filterfunctie van gateways en firewalls is instelbaar
    CommVZ_U.09.3filterfunctieGebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM.Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
    CommVZ_U.09.4toegestaan netwerkverkeerUitsluitend toegestaan netwerkverkeer wordt doorgelaten.Uitsluitend toegestaan netwerkverkeer wordt doorgelaten
    CommVZ_U.10.1gescheiden end-to-end connectieDe end-to-end connectie:
  • wordt gecreëerd door scheiding van adresseringsruimte en routeringen tussen VPN’s over het onderliggende netwerk;
  • geeft garanties, dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen Denial of Service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label-spoofing (het mogelijk injecteren van foute labels).
    		• De end-to-end
    CommVZ_U.11.1vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personenVoor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie.Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
    CommVZ_U.11.2integriteitVoor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
  • communicatieprotocollen, die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen, die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst en de integriteit van de ontvangen data.
    		• Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
    CommVZ_U.11.3integriteitCryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
    CommVZ_U.11.4cryptografische beheersmaatregelenCryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
  • Advanced Encryption Standard (AES);
  • sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware” toepassingen.
    		• Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
    CommVZ_U.12.1authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleutelingOmdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
  • netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (EAP-TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • integriteitcontrolemechanismen voorkomen Man-in the-Middle attacks;
  • encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast, met backwards compatibility mogelijkheden voor ondersteuning van oudere of minder sterke protocollen;
  • autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van mobiele clients, b.v. via MAC adresfiltering;
  • toegangscontrole van eindgebruikers, b.v. via RBAC;
  • niet toegestane typen netwerkverkeer worden geblokkeerd;
  • niet benodigde functies zijn altijd uitgeschakeld (Hardening);
  • bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching & patchmanagement).
    		• Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
    CommVZ_U.13.1verbindingenVoor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten van netwerkverbindingen die worden gebruikt;
  • actuele lijst van toegestane en gebruikte protocollen;
  • actuele lijst van gebruikte netwerktoepassingen;
  • continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • actuele netwerktopologie en daarvoor geldende beveiligingseisen.
    		• Voor de beheersing van netwerken worden minimumeisen
    CommVZ_U.13.2bewaaktNetwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd.Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
    CommVZ_U.14.1authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodesAlvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS).Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd
    CommVZ_U.14.2authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van netwerknodesAlleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x).Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
    CommVZ_U.15.1beheerdNetwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • administratie:
    • het continue actualiseren van de netwerktopologie;
    • het beheersen en ‘huishouden’ van netwerkresources en de wijze waarop die beschikbaar zijn gesteld.
  • beschikbaarheidsbeheer;
    • het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg mogelijk worden ontdekt en te verholpen.
  • incident management:
    • het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • technische kwetsbaarheden management:
    • het verzamelen en uitvoeren van securityupgrades, zoals het aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling;
    • het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
    		• Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
    CommVZ_U.15.2beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
    CommVZ_U.16.1geregistreerd en bewaardOvertredingen van het actuele netwerkbeleid (afwijkingen van de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.) worden geregistreerd en vastgelegd in auditlogs.Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
    CommVZ_U.16.2beoordeeldHet beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
    CommVZ_U.17.1samenhangDe beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem.De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
    CommVZ_U.17.2samenhangDe beveiligingsarchitectuur is gelaagd, zoals:
  • NORANederlandse Overheid Referentie Architectuur Beveiliging Metamodel;
  • SABSA®.
    		• De beveiligingsarchitectuur is gelaagd
    CommVZ_U.17.3samenhangDe netwerk topologie is in kaart gebracht en wordt continu actueel gehouden.De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden

    Control (normen)

    export normen Control als csv

    IDtrefwoordStellingNorm
    CommVZ_C.01.1nalevingDe naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
    • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
    • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
    • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
    • actuele beleidsregels voor netwerkbeveiliging;
    • aanwijzingen voor hardening van netwerkcomponenten;
    • verifieerbare auditlog oplossing.
    		De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
    CommVZ_C.02.1periodiekInformatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
    CommVZ_C.02.2inrichtingDe checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
    		• Checklist voor veilige inrichting van netwerk(diensten)
    CommVZ_C.02.3verantwoordelijkResultaten worden gerapporteerd aan het verantwoordelijke management.Resultaten worden gerapporteerd aan het verantwoordelijke management
    CommVZ_C.03.1robuustheidDe teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
    		• De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
    CommVZ_C.04.1onderzoek van gebeurtenissenZeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
    		• Zeer belangrijke onderdelen van netwerkbeveiliging
    CommVZ_C.04.2onderzoek van gebeurtenissenContinue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
    		• Continue bewaking via monitoring
    CommVZ_C.05.1VerantwoordelijkhedenDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd.De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
    CommVZ_C.05.2VerantwoordelijkhedenBeheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
    		• Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
    Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Communicatievoorzieningen&oldid=35694"