Beleid middlewarecomponenten

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_B.01
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Objectdefinitie

Resultaat van besluitvorming over toegestane middlewarefuncties.

Objecttoelichting

Voor de beveiliging van middlewarecomponenten en met name voor de toegang tot - en de verwerking van - data van deze componenten, hebben zowel de gebruikersorganisatie als de IT-leverancier verantwoordelijkheden. De gebruikersorganisatie stelt beleid op en is verantwoordelijk voor de data. De IT-leverancier verleent diensten op basis van beleidsdocumenten voor uitvoerings-, implementatie-, evaluatie- en rapporteringsactiviteiten. De middlewarecomponenten zijn gerelateerd aan functionaliteiten, zoals aangegeven in afbeelding 2.

Criterium

De leverancier behoort volgens een overeengekomen middlewarecomponenten beleid adequate maatregelen, zoals classificatie, te treffen om deze diensten te kunnen leveren.

Doelstelling

Het beheersen van beveiliging van data in middlewarecomponenten.

Risico

Ontbrekend of onvoldoende beleid voor het gebruik en de beveiliging van middlewarecomponenten kan leiden tot onbevoegde toegang tot of manipulatie van data, waardoor gevoelige informatie kan uitlekken, gegevens onjuist worden verwerkt en de betrouwbaarheid van informatie en bedrijfsprocessen van de organisatie wordt aangetast.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 12.3.1.1, 12.3.1.2, 12.3.1.4, 12.3.1.5

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_B.01.01	Beleid	Er is een middlewarecomponentenbeleid vanuit de klant-organisatie waarin de eisen voor deze componenten zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de componenten tegen ransomware-aanvallen.
MDW_B.01.02	Beleid	De leverancier heeft het beleid voor middlewarecomponenten gereviewd en zo nodig verbeteringen daarop voorgesteld.
MDW_B.01.03	Beleid	Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is (in de middlewareomgeving) en wat de maximale hersteltijd is na een incident.
MDW_B.01.04	Beleid	Het back-upproces via middlewarecomponenten voorziet in opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere locatie.
MDW_B.01.05	Beleid	De restoreprocedure wordt minimaal jaarlijks getest of na een grote wijziging om de betrouwbaarheid te waarborgen als ze in noodgevallen uitgevoerd moet worden.
MDW_B.01.06	Beleid	De opzet en de instelling van integratiefuncties in middleware voldoet aan de geldende eisen voor softwareontwikkeling.
MDW_B.01.07	Beleid	Voor de toegang tot configuratie en beheer van integratiefuncties worden speciale toegangsrechten gehanteerd.
MDW_B.01.08	Classificatie	Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend, die gebaseerd is op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.
MDW_B.01.09	Classificatie	Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.