Beveiliging berichtenverkeer

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_U.12
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Objectdefinitie

Beveiliging van het berichtenverkeer met gebruikers en tussen systeemcomponenten onderling.

Objecttoelichting

De beveiliging van het berichtenverkeer omvat beveiligingsmechanismen die bescherming bieden tegen Cross-Site Scripting (XSS), SQL Injections en andere bedreigingen voor het berichtenverkeer.

Om de vertrouwelijkheid, integriteit en authenticiteit van berichten in gedistribueerde omgevingen zeker te stellen, wordt op de middleware-laag vaak gebruik gemaakt van Message-level security. Deze set van maatregelen regelt onder meer hoe berichten tussen een client-applicatie en een webservice moeten worden versleuteld en/of digitaal ondertekend.

Criterium

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.

Doelstelling

Het handhaven van de beveiliging van uitgewisselde informatie binnen het ICT-landschap van een organisatie en met externe entiteiten.

Risico

Wanneer het berichtenverkeer tussen systemen en gebruikers onvoldoende is beveiligd, bestaat het risico dat berichten worden onderschept, gemanipuleerd of misbruikt, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van uitgewisselde gegevens kunnen worden aangetast.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP-netwerk

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_U.12.01	Onbevoegd	Er kunnen uitsluitend berichten van en met geauthentiseerde gebruikers en systemen worden uitgewisseld.
MDW_U.12.02	Onbevoegd	De applicaties en systemen die berichten uitwisselen zijn bekend.
MDW_U.12.03	Onvolledige overdracht	Fout of onvolledig uitgewisselde data wordt herkend en hersteld.
MDW_U.12.04	Onbevoegd wijzigen	Het dataverkeer van of naar de vertrouwde omgeving, wordt bewaakt/geanalyseerd op verdacht verkeer met detectievoorzieningen.
MDW_U.12.05	Onbevoegd wijzigen	Geavanceerde en/of gekwalificeerde elektronische handtekeningen moeten voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie.
MDW_U.12.06	Onbevoegd openbaar	Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving.
MDW_U.12.07	Onbevoegd openbaar	Internetfacing-informatiesystemen en e-mail- berichtenverkeer moeten blijvend voldoen aan de verplichte standaarden, zie hiervoor de website van het Forum Standaardisatie. Hierop wordt gestuurd met de metingen van internet.nl. Daarbij dienen alle onderdelen te worden ingesteld zodat een optimale beveiliging wordt bereikt zonder afbreuk te doen aan de functionaliteit van de geboden dienst.