Beheersmaatregelen

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Beheersmaatregel.png

Een beheersmaatregel is een verbijzondering van een (ArchiMate) eis (requirement). Beheersmaatregelen realiseren Afgeleide principes.

Op deze pagina vindt u een overzicht van de in NORA beschreven beheersmaatregelen per thema.

Thema Beveiliging/Continuïteit

Thema Beveiliging/Systeemintegriteit

  • Beheersing van verwerkingen
    De technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is.
  • Beperking van ongebruikte functies (hardening)
    Infrastructurele programmatuur, die vitale beveiligingsfuncties vervult, bevat geen onnodige en ongebruikte functies.
  • Beperking van systeemhulpmiddelen
    Het gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en toepassingssoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt.
  • Geautoriseerde mobiele code
    Als gebruik van ‘mobile code’ wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde ‘mobile code’ functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niet-toegelaten ‘mobile code’ wordt uitgevoerd.
  • Handhaven technische functionaliteit
    De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.

Thema Beveiliging/Administratieve controle

  • Bestandscontrole
    Kritische gegevens (bijvoorbeeld identificerende en financiële gegevens), die in verschillende gegevensverzamelingen voorkomen, worden periodiek met elkaar vergeleken.
  • Controles voor risicovolle bedrijfsprocessen
    Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen.
  • Functie- en processcheiding
    Niemand in een organisatie of proces mag in staat worden gesteld om een gehele procescyclus te beheersen.
  • Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen
    In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.
  • Invoercontrole
    Alle ingevoerde gegevens vanuit een systeemvreemde omgeving worden op juistheid (J), tijdigheid (T) en volledigheid (V) gecontroleerd voordat verdere verwerking plaatsvindt. Bij batchgewijze verwerking heeft de controle op de volledigheid ook betrekking op het aantal posten of mutaties dat deel uitmaakt van de batch.
  • Uitvoercontrole
    De uitvoerfuncties van programma's maken het mogelijk om de juistheid, tijdigheid en/of volledigheid van de gegevens te kunnen vaststellen.
  • Validatie van gegevensverwerking
    In toepassingsprogrammatuur worden geprogrammeerde controles opgenomen, gericht op invoer, verwerking en uitvoer.
  • Verwerkingsbeheersing
    Toepassingsprogrammatuur biedt mogelijkheden om te constateren dat alle ter verwerking aangeboden invoer juist, volledig en tijdig is verwerkt.

Thema Beveiliging/Scheiding

  • Encryptie
    De communicatie en de opslag van gegevens die buiten de invloedsfeer van de logische en fysieke toegangsbeveiliging maar wel binnen de eigen beheeromgeving vallen of waarvoor deze maatregelen onvoldoende zijn, zijn door encryptie beschermd.
  • Scheiding van systeemfuncties
    De technische infrastructuur is in zones ingedeeld om isolatie van onderdelen hiervan mogelijk te maken.
  • Sleutelbeheer
    De vertrouwelijkheid en integriteit van geheime cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag en vernietiging van de sleutels.
  • Zonering
    De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.

Thema Beveiliging/Filtering

Thema Beveiliging/Transactie

  • Integriteitscontrole van het bericht
    De integriteit (authenticiteit) van het verzonden bericht wordt vastgesteld met behulp van een elektronische handtekening.
  • Wederzijdse authenticatie
    Alvorens een transactie mogelijk is, wordt de identiteit van de ontvanger of ontvangend systeem, en de identiteit van de zender van het bericht vastgesteld door middel van authenticatie.

Thema Beveiliging/Toegang

  • Authenticatie (beheersmaatregel)
    Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie.
  • Autorisatie (beheersmaatregel)
    Autorisaties zijn ingesteld op basis van ontwerp- of systeemdocumentatie, waarin aangegeven is welke rechten in welke gebruikersgroepen worden ondergebracht.
  • Identificatie (beheersmaatregel)
    Alle toegangsvragers (gebruikers) tot gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening.

Thema Beveiliging/Registratie controle rapportering

  • Controle en signalering
    Instellingen van functies die voor de informatiebeveiliging van belang zijn en wijzigingen daarin worden automatisch gecontroleerd.
  • Rapportering
    Logbestanden worden periodiek geanalyseerd en gecorreleerd teneinde beveiligingsincidenten dan wel de juiste werking van het systeem te detecteren.
  • Registratie (logging)
    Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging.
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen