Beveiliging/implementeren

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

De pagina Architectuuraanpak vertelt hoe beveiliging gebruikt kan worden bij het werken onder architectuur.


Belang van beveiliging binnen samenwerken in de e-Overheid

NORA 3.0 en de best practices geven invulling aan het 'basisniveau voor informatiebeveiliging' dat overeenkomt met risicoklasse II, verhoogd risico, van de Wet Bescherming Persoonsgegevens (WBP). Sinds maart 2013 zijn hiervoor de richtsnoeren 'Beveiliging van persoonsgegevens' (PDF, 5,6 MB) van kracht van het College Bescherming Persoonsgegevens (CBP). Overheidsorganisaties zullen in alle gevallen op de koppelvlakken met de e-overheidsbouwstenen voor netwerkvoorzieningen (Digikoppeling, Koppelnet Publieke Sector) aan het basisbeveiligingsniveau moeten voldoen.

Voor informatie-uitwisseling op een hoger beveiligingsniveau kunnen organisaties doorgaans gebruik maken van de generieke voorzieningen op het basisbeveiligingsniveau. Aanvullende maatregelen moeten dan worden genomen op het niveau van de processen, de bijbehorende ICT-toepassingen, en in personele en fysieke beveiliging. Organisaties die gegevens uit hogere risicoklassen willen uitwisselen, zullen bijvoorbeeld onderling aanvullende afspraken maken over het gebruik van gescheiden logische verbindingen. Dit niveau komt in de aansluitvoorwaarden tot uitdrukking (zie figuur).

figuur netwerk van partners en bouwstenen waar tussen twee partijen aanvullende IB-afspraken gemaakt zijn

Op basis van de ontwikkelde baseline kan een organisatie voor ieder informatiesysteem maatregelen treffen. Per systeem is vast te stellen of er ten opzichte van de uitgangspunten van de baseline sprake is van afwijkende situaties, waardoor een aanvullende risicoanalyse nodig is. Afwijkende situaties kunnen bijvoorbeeld betrekking hebben op hogere beschikbaarheidseisen, toepassing van nieuwe technologie, specifieke eisen van derden.. De organisatie kan voor iedere bedreiging bepalen wat de kans van een daadwerkelijk optreden is, en wat in zo'n geval de schade is. Daarna kunnen de kosten van te treffen maatregelen worden afgewogen tegen de opbrengsten van de hiermee te vermijden schade. Op basis van deze analyse zijn extra maatregelen, buiten de baseline om, te treffen.

In de praktijk kunnen risico's vanwege technische redenen of kosten vaak niet geheel worden afgedekt. In dat geval moet het management de overgebleven risico's expliciet accepteren.

Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen