BIO Thema Huisvesting informatievoorzieningen - Verbindingsdocument

Uit NORA Online
< BIO Thema-uitwerking Huisvesting InformatievoorzieningenBIO Thema Huisvesting Informatievoorziening/Verbindingsdocument
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Context beveiliging Huisvesting-IV

”Verbindingsniveau voor Huisvesting Informatievoorziening”
Verbindingsniveau voor Huisvesting Informatievoorziening

Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging.

Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas.

Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening.

Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV).

”Context Huisvesting Informatievoorziening”
Context Huisvesting Informatievoorziening


Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM).

”Essentiële objecten in het uitvoering domein”
Essentiële objecten in het uitvoering domein

Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur.

”Objecten in het uitvoering domein”
Objecten in het uitvoering domein

Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie.

  • Terrein – de omheinde, beschermde locaties van de Huisvesting IV
  • Gebouwen – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten.
  • Voorzieningen – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.).
  • Faciliteiten - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc.

Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen.

Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten.

Generieke objecten

Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen.

Nr Bron: ISO/BIO of alternatief Generieke objecten
1. 5.1.1. Huisvestingsbeleid
2. 7.2.2. Training en Awareness
3. 8.1.2. Eigenaarschap
4. 18.1.1. Wet en regelgeving
5. Uit SIVA analyse Organisatie
6. Uit SIVA analyse Architectuur
7. idem -> ITIL Contractmanagement
8. idem -> ITIL Servicelevelmanagement
9. idem -> NIST Certificering
10. 8.1.1. Bedrijfsmiddelen inventaris
11. 11.1.1. Fysieke zonering
12. 11.1.2. Fysieke toegangsbeveiliging
13. 11.1.3. Beveiligingsfaciliteit
14. 11.1.4. Interne en Externe bedreigingen
15. 11.1.5. Richtlijnen gebieden en ruimten
16. 11.1.6. Laad- en loslocatie
17. 11.2.1. Apparatuur positionering
18. 11.2.2. Nutsvoorzieningen
19. 11.2.3. Bekabeling
20. 11.2.4. Apparatuur onderhoud
21. 11.2.5. Bedrijfsmiddelen verwijdering
22. 11.2.7. Apparatuur verwijdering
23. 9.2.1. Registratieprocedure
24. 9.2.4. Beoordeling Fysieke toegangsrechten
25. Uit SIVA analyse Controle richtlijn Huisvesting-IV
26. idem Onderhoudsplan
27. idem Huisvestingsbeheerorganisatie
28. idem -> ITIL Continuïteitsmanagement
Tabel 6: Vastgestelde generieke objecten
Legenda
Beleid
Uitvoering
Control

Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001.

De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice.

Positionering van objecten gerelateerd aan SIVA basiselementen

”Objecten in hun B-U-C domein”
Objecten in hun B-U-C domein

Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data.

Cross Reference naar praktijktoepassingen

Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext.

cross-reference naar praktijktoepassingen
Nr. Bron:ISO…   Onderwerp Referentie naar praktijktoepassing(Verwijzing naar brondocumenten)
1. 5.1.1. B Huisvestingsbeleid a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e)
2. 7.2.2. B Training en Awareness a):H4, h), j), i
3. 8.1.2. B Eigenaarschap a):H2 (voor rijk), j), i)
4. 18.1.1. B Wet en regelgeving i)
5. SIVA B/U Organisatie a):H4
6. SIVA B/U Architectuur i), Richtlijnen - Rijks vastgoedbedrijf (RVB)
7. ITIL B Contractmanagement a):H8, f)
8. ITIL B Servicelevelmanagement f)
9. NIST B Certificering g)
10. 8.1.1. U/VZ Bedrijfsmiddelen inventaris i)
11. 11.1.1. U/GB Fysieke zonering a): H6, c), e), i)
12. 11.1.2. U/VZ Fysieke toegangsbeveiliging a): H6, b), c), i)
13. 11.1.3. U/VZ Beveiligingsfaciliteit NKBR 5.4 voor sleutelplan
14. 11.1.4. U Interne en Externe bedreigingen i), k)
15. 11.1.5. U/GB Richtlijnen gebieden en ruimten a):geheel document, j), i), o)
16. 11.1.6. U/GB Laad- en loslocatie a):H6
17. 11.2.1. U/VZ Apparatuur positionering a):H7 voor beveiligingsvoorzieningen, i), o)
18. 11.2.2. U/VZ Nutsvoorzieningen i), Richtlijnen - RVB
19. 11.2.3. U/VZ Bekabeling i), o), Richtlijnen - RVB
20. 11.2.4. U/VZ Apparatuur onderhoud i), Richtlijnen - RVB
21. 11.2.5. U/VZ Bedrijfsmiddelen verwijdering i)
22. 11.2.7. U/VZ Apparatuur verwijdering i)
23. 9.2.1. C Registratieprocedure i)
24. 9.2.4. C Beo. Fysieke toegangsrechten i)
25. SIVA C Controle richtlijn Huisvesting-IV ? Richtlijnen - RVB
26. SIVA C Onderhoudsplan ? Richtlijnen - RVB
27. SIVA C Huisvestingsbeheerorganisatie a):H4
28. ITIL C Continuïteitsmanagement i), l, m), o), ITIL documentatie

Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

Brondocumenten

Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden.

Bronverwijzing
Nr. Documentnaam Versie + datum Eigenaar Toelichting
a) Normenkader Beveiliging Rijkskantoren (NKBR) 2.02-10-2015 ICBRBzK Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V)
b) Kader Rijkstoegangs-beleid 1.0 van 11/5/10 ICBR Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’
c) Zoneringsmodel rijkskantoren 5-jul-11 BzK Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB)
d) Richtlijnen Rijks Vastgoedbedrijf (RVB) volgt RVB Nader te bepalen set van eisen in samenspraak met RVB
e) NIST PE Physical and Environ-mental Protection (PE) jun-10 NIST Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering
f) NIST MA System Mainenance Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor beheersingsprocedures
g) NIST CA Security Assessment and Authorization Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor Certificering van organisaties
h) NIST AT Awaress and Training Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers
i) NIST CM Configuration Management Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures
j) Standard of Good Practice (SoGP) Periodiek ISF Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen
k) KWAS Periodiek NCSC Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit
l) NEN-ISO-22323 2012 BzK Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief
m) NORANederlandse Overheid Referentie Architectuur patronen voor bedrijfs-continuïteit / BCM 2014 BzK https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt
n) BIR 1.0 2011 BzK BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013
o) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Periodiek ieee802.org /ANSI Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet

Op NEN-ISO documenten rusten licentierechten.