Beleid informatietransport

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_B.02
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Objectdefinitie

Beleid voor toegestane uitwisseling van data via berichtenverkeer.

Objecttoelichting

Integratiefuncties van middleware maken het mogelijk om data uit te wisselen met andere applicaties, zoals bijvoorbeeld basisregistraties. De technische functies bieden daarbij de mogelijkheid om voorafgaand aan het transport de verschillende data-elementen te rangschikken en bijvoorbeeld via aggregatie nieuwe data te genereren. Als brondata ook persoonsgebonden informatie bevat, dan is speciale aandacht voor de borging van privacy (onder andere Algemene Verordening Gegevensbescherming (AVG)-bepalingen) noodzakelijk.

Criterium

Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.

Doelstelling

Het maken van beleid over welke informatie, in welke vorm via integratiefuncties uitgewisseld mag worden.

Risico

Ontbrekend of onvoldoende beleid voor informatietransport via middleware-integratiefuncties kan ertoe leiden dat gegevens zonder duidelijke kaders worden uitgewisseld of bewerkt, waardoor informatie onbevoegd wordt verstrekt, privacy- en beveiligingseisen worden overtreden en de betrouwbaarheid en rechtmatigheid van gegevensuitwisseling en bedrijfsprocessen wordt aangetast.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO2 5.14 en ISO 27001:2022

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_B.02.01	Regels, procedures of overeenkomsten voor informatieoverdracht	Het beleid voor informatieoverdracht omvat ten minste de volgende elementen: de regels en procedures zijn afgestemd op het classificatieniveau van de informatie; de regels en procedures bieden bescherming tegen risico's zoals ongeautoriseerde toegang, wijziging, onderschepping, kopiëren, vernietiging of denial-of-service; onderwerp-specifieke richtlijnen over toegestane en aanbevolen methoden voor informatieoverdracht (digitaal, fysiek, verbaal, intern/extern); Richtlijnen voor de opslag en verwijdering van bedrijfsgegevens, inclusief berichten en overgedragen informatie; aandacht voor relevante wettelijke, regelgevende en contractuele verplichtingen; gedefinieerde verantwoordelijkheden, inclusief contactgegevens van betrokken partijen (zowel intern als extern); eisen voor het waarborgen van traceerbaarheid en de integriteit van de bewakingsketen, bijvoorbeeld middels registratie van overdrachten en mechanismen voor onweerlegbaarheid (elektronische handtekening).
MDW_B.02.02	Regels, procedures of overeenkomsten voor informatieoverdracht	Organisaties hanteren op basis van bewuste keuzes, procedures voor de uitwisseling van data via integratiefuncties van middlewarecomponenten.
MDW_B.02.03	Regels, procedures of overeenkomsten voor informatieoverdracht	De (klant)organisatie heeft met een Privacy Impact Assessment (PIA) bepaald en vastgelegd welke applicaties en systemen berichten met elkaar en met partner organisaties uit mogen wisselen.