Beveiliging/implementeren

Uit NORA Online
< Beveiliging
Naar navigatie springen Naar zoeken springen


Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
De pagina Architectuuraanpak vertelt hoe beveiliging gebruikt kan worden bij het werken onder architectuur.

Belang van beveiliging binnen samenwerken in de e-Overheid[bewerken]

NORA 3.0 en de best practices geven invulling aan het 'basisniveau voor informatiebeveiliging' dat overeenkomt met risicoklasse II, verhoogd risico, van de Wet Bescherming Persoonsgegevens (WBP). Sinds maart 2013 zijn hiervoor de richtsnoeren 'Beveiliging van persoonsgegevens' (PDF, 5,6 MB) van kracht van het College Bescherming Persoonsgegevens (CBP). Overheidsorganisaties zullen in alle gevallen op de koppelvlakken met de e-overheidsbouwstenen voor netwerkvoorzieningen (Digikoppeling, Koppelnet Publieke Sector) aan het basisbeveiligingsniveau moeten voldoen.

Voor informatie-uitwisseling op een hoger beveiligingsniveau kunnen organisaties doorgaans gebruik maken van de generieke voorzieningen op het basisbeveiligingsniveau. Aanvullende maatregelen moeten dan worden genomen op het niveau van de processen, de bijbehorende ICT-toepassingen, en in personele en fysieke beveiliging. Organisaties die gegevens uit hogere risicoklassen willen uitwisselen, zullen bijvoorbeeld onderling aanvullende afspraken maken over het gebruik van gescheiden logische verbindingen. Dit niveau komt in de aansluitvoorwaarden tot uitdrukking (zie figuur).

figuur netwerk van partners en bouwstenen waar tussen twee partijen aanvullende IB-afspraken gemaakt zijn

Op basis van de ontwikkelde baseline kan een organisatie voor ieder informatiesysteem maatregelen treffen. Per systeem is vast te stellen of er ten opzichte van de uitgangspunten van de baseline sprake is van afwijkende situaties, waardoor een aanvullende risicoanalyse nodig is. Afwijkende situaties kunnen bijvoorbeeld betrekking hebben op hogere beschikbaarheidseisen, toepassing van nieuwe technologie, specifieke eisen van derden. De organisatie kan voor iedere bedreiging bepalen wat de kans van een daadwerkelijk optreden is, en wat in zo'n geval de schade is. Daarna kunnen de kosten van te treffen maatregelen worden afgewogen tegen de opbrengsten van de hiermee te vermijden schade. Op basis van deze analyse zijn extra maatregelen, buiten de baseline om, te treffen.

In de praktijk kunnen risico's vanwege technische redenen of kosten vaak niet geheel worden afgedekt. In dat geval moet het management de overgebleven risico's expliciet accepteren.