Beheersmaatregelen
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Een beheersmaatregel is een verbijzondering van een (ArchiMate) eis (requirement). Beheersmaatregelen realiseren Afgeleide principes.
Op deze pagina vindt u een overzicht van de in NORA beschreven beheersmaatregelen per thema.
Thema Beveiliging/Continuïteit[bewerken]
- Herstellen van verwerkingen
Maak verwerkingen herstelbaar. - Vermeervoudiging van systeemfuncties
Bepaal op basis van de eisen die voortvloeien uit de Plannen voor Bedrijfscontinuïteit in hoeverre delen van de technische infrastructuur meervoudig worden uitgevoerd om single-points-of-failure te vermijden. - Voorspellen en signaleren van onderbrekingen
Probeer in IT-voorzieningen dreigende discontinuïteit van die voorzieningen te voorspellen dan wel te signaleren in een zo vroeg mogelijk stadium.
Thema Beveiliging/Systeemintegriteit[bewerken]
- Beheersing van verwerkingen
De technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is. - Beperking van ongebruikte functies (hardening)
Infrastructurele programmatuur, die vitale beveiligingsfuncties vervult, bevat geen onnodige en ongebruikte functies. - Beperking van systeemhulpmiddelen
Het gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en toepassingssoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt. - Geautoriseerde mobiele code
Als gebruik van ‘mobile code’ wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde ‘mobile code’ functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niet-toegelaten ‘mobile code’ wordt uitgevoerd. - Handhaven technische functionaliteit
De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.
Thema Beveiliging/Administratieve controle[bewerken]
- Bestandscontrole
Kritische gegevens (bijvoorbeeld identificerende en financiële gegevens), die in verschillende gegevensverzamelingen voorkomen, worden periodiek met elkaar vergeleken. - Controles voor risicovolle bedrijfsprocessen
Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen. - Functie- en processcheiding
Niemand in een organisatie of proces mag in staat worden gesteld om een gehele procescyclus te beheersen. - Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen
In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie. - Invoercontrole
Alle ingevoerde gegevens vanuit een systeemvreemde omgeving worden op juistheid (J), tijdigheid (T) en volledigheid (V) gecontroleerd voordat verdere verwerking plaatsvindt. Bij batchgewijze verwerking heeft de controle op de volledigheid ook betrekking op het aantal posten of mutaties dat deel uitmaakt van de batch. - Uitvoercontrole
De uitvoerfuncties van programma's maken het mogelijk om de juistheid, tijdigheid en/of volledigheid van de gegevens te kunnen vaststellen. - Validatie van gegevensverwerking
In toepassingsprogrammatuur worden geprogrammeerde controles opgenomen, gericht op invoer, verwerking en uitvoer. - Verwerkingsbeheersing
Toepassingsprogrammatuur biedt mogelijkheden om te constateren dat alle ter verwerking aangeboden invoer juist, volledig en tijdig is verwerkt.
Thema Beveiliging/Scheiding[bewerken]
- Encryptie
De communicatie en de opslag van gegevens die buiten de invloedsfeer van de logische en fysieke toegangsbeveiliging maar wel binnen de eigen beheeromgeving vallen of waarvoor deze maatregelen onvoldoende zijn, zijn door encryptie beschermd. - Scheiding van systeemfuncties
De technische infrastructuur is in zones ingedeeld om isolatie van onderdelen hiervan mogelijk te maken. - Sleutelbeheer
De vertrouwelijkheid en integriteit van geheime cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag en vernietiging van de sleutels. - Zonering
De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.
Thema Beveiliging/Filtering[bewerken]
- Controle op communicatiegedrag
Ongewenst communicatiegedrag wordt opgemerkt en geblokkeerd. - Controle op gegevensuitwisseling
De gegevensuitwisseling tussen zones wordt naar vorm en inhoud gecontroleerd, waarbij ongewenste gegevens worden geblokkeerd.
Thema Beveiliging/Transactie[bewerken]
- Integriteitscontrole van het bericht
De integriteit (authenticiteit) van het verzonden bericht wordt vastgesteld met behulp van een elektronische handtekening. - Wederzijdse authenticatie
Alvorens een transactie mogelijk is, wordt de identiteit van de ontvanger of ontvangend systeem, en de identiteit van de zender van het bericht vastgesteld door middel van authenticatie.
Thema Beveiliging/Toegang[bewerken]
- Authenticatie (beheersmaatregel)
Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie. - Autorisatie (beheersmaatregel)
Autorisaties zijn ingesteld op basis van ontwerp- of systeemdocumentatie, waarin aangegeven is welke rechten in welke gebruikersgroepen worden ondergebracht. - Identificatie (beheersmaatregel)
Alle toegangsvragers (gebruikers) tot gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening.
Thema Beveiliging/Registratie controle rapportering[bewerken]
- Controle en signalering
Instellingen van functies die voor de informatiebeveiliging van belang zijn en wijzigingen daarin worden automatisch gecontroleerd. - Rapportering
Logbestanden worden periodiek geanalyseerd en gecorreleerd teneinde beveiligingsincidenten dan wel de juiste werking van het systeem te detecteren. - Registratie (logging)
Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging.