BIO Thema Communicatievoorzieningen - Inleiding
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Deze BIO Thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Communicatievoorzieningen. Het is geënt op controls uit de Baseline Informatiebeveiliging Overheid (BIO) 2019, NEN-EN-ISO/IEC 27002:2017 (hierna genoemd ISO 27002), implementatiestandaarden-reeks ISO 27033 en tevens op best practices van de Bundesamt für Sicherheit in der Informationstechnik (BSI) en The Standard of Good Practice (SoGP) 2018.
Opzet BIO Thema-uitwerking
De BIO Thema-uitwerking Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI en SoGP. De NORA-patronen zijn gebruikt voor afbeeldingen en begeleidende teksten. NORA staat voor Nederlandse Overheid Referentie Architectuur De implementatiestandaard ISO 27033 deel 1 t/m 6 biedt, gerelateerd aan de ISO 27002, overzicht en een technische duiding van netwerkbeveiliging.
Deze thema-uitwerking volgt de standaardopzet voor BIO Thema-uitwerkingen:
- Context en globale structuur van de thema-uitwerking (zie hoofdstuk Context van communicatievoorzieningen)
- Scope en begrenzing van de thema-uitwerking (zie hoofdstuk Scope en begrenzing)
- Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie hoofdstuk Globale relaties tussen de beveiligingsobjecten)
Context communicatievoorzieningen
De basis voor de uitwerking van de BIO Thema-uitwerking Communicatievoorzieningen is de BIO. In hoofdstuk 13 van de BIO worden verschillende typen communicatievoorzieningen genoemd, zoals geïllustreerd in de afbeelding 'Schematische weergave context communicatievoorzieningen', te weten:
- Openbare diensten, Het gebruik van openbare diensten, zoals: instant messaging en sociale media (vehikel).
- Elektronische berichten, Informatie opgenomen in elektronische berichten (inhoud).
- Informatietransport, Het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: e-mail, telefoon, fax en video (inhoud).
- Netwerkdiensten, Het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel).
- Netwerk (infrastructuur), Dit betreft de fysieke en logische verbindingen (vehikel).
Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft een of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen.
In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Onderstaande afbeelding schetst de belangrijkste soorten van netwerkkoppelingen:
- Tussen organisaties onderling
- Tussen organisaties en publieke netwerken
- Binnen organisaties
Het doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie.
De beveiligingsmaatregelen binnen de ISO-standaard hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van de netwerkinfrastructuur is segmentering en compartimentering, tezamen zonering genoemd.
Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: ‘vertrouwd toegangspad’ en beveiliging in ‘koppelvlakken’. Hiervoor bieden de NORA-patronen een praktische invulling.
In deze thema-uitwerking wordt een netwerk beschouwd als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment.
Scope en begrenzing communicatievoorzieningen
Deze BIO Thema-uitwerking omvat een set communicatie-beveiligingsobjecten en -maatregelen voor netwerkvoorzieningen 1, zoals weergegeven in de afbeelding 'Schematische weergave context communicatievoorzieningen'. De uitwerking van deze thema-uitwerking beperkt zich tot deze type communicatievoorzieningen.
Er zijn essentiële objecten uit andere best practices dan de BIO gebruikt, die gerelateerd zijn aan dit type communicatievoorzieningen. Bepaalde typen communicatiefaciliteiten, zoals: Voice over IP (VOIP), intranet en extranet zijn in deze BIO Thema-uitwerking niet uitgewerkt. Er wordt niet diepgaand ingegaan op:
- bepaalde typen verbindingen, zoals Virtual Private Network (VPN)- en gateway-verbindingen;
- communicatievoorzieningen, zoals instant messaging en e-mail.
De begrenzing van deze BIO Thema-uitwerking is in onderstaande afbeelding weergegeven.
Globale relaties tussen beveiligingsobjecten
Onderstaande afbeelding geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een informatievoorzieningslandschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van netwerkconnecties die de verschillende netwerken en informatievoorzieningen met elkaar verbinden.
Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s.
Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van de binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie.
Cryptografische services verzorgen de zonering voor het gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt.
In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via draadloze toegang en worden beveiligd met onder andere netwerkauthenticatie.
Een netwerkbeheerorganisatie draagt met richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het actueel houden van beveiligingsmaatregelen.
Via het vastleggen van events, de evaluatie van de netwerkmonitoring en het evalueren van de netwerkbeveiliging worden de actuele werking van de maatregelen getoetst en waar nodig versterkt.
Meer over de technologie van beveiligingsobjecten is te vinden op de NORA online onder het thema Beveiliging bij de 'Patronen voor informatiebeveiliging'.
- ↑ Hiervoor zijn de ISO-standaarden: ISO 27033 1 t/m 6 en NORA-patronen in adviserende zin beschikbaar. De ISO 27033 draagt de titel: Information technology - Security techniques - Network security, bedoeld als implementatiegids voor de ISO 27002. De ISO 27033 bestaat uit 6 delen. Deel 1 bevat algemene controls voor communicatiebeveiliging, deel 2 beschrijft ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP netwerktoegang.