BIO Thema Communicatievoorzieningen - Inleiding

Uit NORA Online
< BIO Thema-uitwerking CommunicatievoorzieningenBIO Thema Communicatievoorzieningen/Inleiding
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit de Baseline Informatiebeveiliging Overheid (BIO) 2019, NEN-ISO/IEC 27002: 2017 (hierna genoemd ISO 27002), implementatiestandaarden-reeks ISO 27033 en tevens op best practices als: Bundesamt für Sicherheit in der Informationstechnik (BSI) en Standard of Good Practice (SoGP).

Opzet van het thema

Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de BSI en SoGP. De NORA-patronen zijn gebruikt voor afbeeldingen en begeleidende teksten. NORANederlandse Overheid Referentie Architectuur staat voor Nederlandse Overheid Referentie Architectuur De implementatiestandaard ISO 27033 deel 1 t/m 6 biedt, gerelateerd aan de ISO 27002, overzicht en een technische duiding van netwerkbeveiliging.

Dit thema volgt de standaardopzet voor BIO Thema-uitwerkingen:

  1. context en globale structuur van het thema
  2. Scope en begrenzing van het thema
  3. Globale relaties tussen de geïdentificeerde beveiligingsobjecten


Context van Communicatiebeveiliging

De basis voor de uitwerking van het thema Communicatievoorzieningen is de BIO. In hoofdstuk 13 van de BIO worden verschillende type communicatievoorzieningen genoemd, zoals geïllustreerd in de afbeelding "schematische weergave context communicatievoorzieningen", te weten:

  • Openbare diensten

Het gebruik van openbare diensten, zoals: instant messaging en sociale media (vehikel).

  • Elektronische berichten

InformatieBetekenisvolle gegevens. opgenomen in elektronische berichten (inhoud).

  • Informatietransport

Het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: e-mail, telefoon, fax en video (inhoud).

  • Netwerkdiensten

Het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel).

  • Netwerk (infrastructuur)

Dit betreft de fysieke en logische verbindingen (vehikel).

”Schematische weergave context communicatievoorzieningen”
Schematische weergave context communicatievoorzieningen

Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft een of meer koppelingen met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste netwerkvoorzieningen.

In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan netwerkvoorzieningen. Onderstaande afbeelding schetst de belangrijkste soorten van netwerkkoppelingen:

  • Tussen organisaties onderling
  • Tussen organisaties en publieke netwerken
  • Binnen organisaties


”Soorten netwerkkoppelingen”
Soorten netwerkkoppelingen

Het doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een op hard- en softwarematige gebaseerde beveiligde verzameling van informatie. De beveiligingsmaatregelen binnen de ISO-standaard hebben betrekking op de hiervoor vermelde communicatievoorzieningen. Een van de meest toegepaste beveiligingsmaatregelen van de netwerkinfrastructuur is segmentering en compartimentering, tezamen zonering genoemd.

Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: ‘vertrouwd toegangspad’ en beveiliging in ‘koppelvlakken’. Hiervoor bieden de NORA-patronen een praktische invulling.

In dit thema wordt een netwerk beschouwd als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment.


Scope en Begrenzing

Dit thema omvat een set communicatie-beveiligingsobjecten en -maatregelen voor netwerkvoorzieningen , zoals weergegeven in de afbeelding "schematische weergave context communicatievoorzieningen". Hiervoor zijn de ISO-standaarden: ISO 27033 1 t/m 6 en NORA-patronen in adviserende zin beschikbaar. De ISO 27033 draagt de titel: Information technology - Security techniques - Network security, bedoeld als implementatiegids voor de ISO 27002. De ISO 27033 bestaat uit 6 delen. Deel 1 bevat algemene controls voor communicatiebeveiliging, deel 2 beschrijft ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 Virtual Private Network (VPN) en deel 6 Wireless-IP netwerktoegang.

De uitwerking van dit thema beperkt zich tot deze type communicatievoorzieningen.

Er zijn essentiële objecten uit andere best practices dan de BIO gebruikt, die gerelateerd zijn aan dit type communicatievoorzieningen. Bepaalde type communicatiefaciliteiten, zoals: Voice over IP (VOIP), intranet en extranet zijn in dit thema niet uitgewerkt. Er wordt niet diepgaand ingegaan op:

  • bepaalde type verbindingen, zoals Virtual Private Network (VPN)- en gateway-verbindingen;
  • communicatievoorzieningen, zoals instant messaging en e-mail.

De begrenzing van dit document is in onderstaande afbeelding weergegeven.

”Relatie BIO Thema-uitwerking met aanpalende documenten”
Relatie BIO Thema-uitwerking met aanpalende documenten


Globale relaties tussen de beveiligingsobjecten

Onderstaande afbeelding geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een informatievoorzieningslandschap waarin een organisatie met een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem communiceert. Daarbij is sprake van netwerkconnecties die de verschillende netwerken en informatievoorzieningen met elkaar verbinden.

Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s. Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van de binnen- en buitenwereld en een gecontroleerde doorgang van vertrouwde informatie. Cryptografische services verzorgen de zonering voor het gegevenstransport via private en publieke netwerken, zodat informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt.

In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk verbonden via draadloze toegang en worden beveiligd met onder andere netwerkauthenticatie. Een netwerkbeheerorganisatie draagt met richtlijnen zorg voor de instandhouding van netwerkbeveiliging en het actueel houden van beveiligingsmaatregelen.

Via het vastleggen van events, de evaluatie van de netwerkmonitoring en het evalueren van de netwerkbeveiliging worden de actuele werking van de maatregelen getoetst en waar nodig versterkt.


”Toepassing van beveiligingsobjecten”
Toepassing van beveiligingsobjecten

Meer over de technologie van de beveiligingsobjecten is te vinden op de NORANederlandse Overheid Referentie Architectuur online onder het thema Beveiliging, (www.noraonline.nl) bij de “Patronen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.”.