Beveiligingsaspect Uitvoering

Uit NORA Online
Ga naar: navigatie, zoeken

Deze pagina geeft alle ISOR-objecten (Privacyprincipes, Beveiligingsprincipes en Normen) binnen het Beveiligingsaspect Uitvoering weer.

Alle objecten binnen dit aspect zijn ook te herkennen aan het symbool
Paars vierkant kader met daarin in wit de eerste letter van Beveiligingsaspect Uitvoering

Deze hoofdletter vind je ook terug in het ID van deze objecten.

Inhoud


Uitleg Beveiligingsaspecten

Beveiligingsaspect BeleidBeveiligingsaspect UitvoeringBeveiligingsaspect ControlAlle beveiligingsaspectenDrie paarse rechthoeken met in wit de teksten Beleid, Uitvoering en Control, met daarnaast een kleiner paars vierkant met de eerste letter van deze drie beveiligingsaspecten.

ISOR onderscheidt drie verschillende beveiligingsaspecten:

Beleid
Uitvoering
Control


Benamingen en uitleg binnen SIVA-methode

De SIVA-methode beschrijft dat de structuur is opgebouwd uit een aantal lagen en waarmee de eerste doorsnede van een te onderzoeken gebied wordt weergegeven. Deze lagenstructuur geeft door middel van drie onderkende contexten een indeling in conditionele-, inrichting- en managementaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur SIVA lagenstructuur en kenmerken geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn:

SIVA lagenstructuur en kenmerken.

beleid

Deze laag bevat elementen die aangeven wat we in organisatiebrede zin willen bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.. Met behulp van de karakterisering van het auditobject (webapplicatie) en aan de hand van enkele hulpvragen, worden de relevante beleidsaspecten geïdentificeerd. De hulpvragen zijn:

  • Welke processen zouden moeten zijn ingericht?
  • Welke algemene beleidsrichtlijnen zouden moeten zijn uitgevaardigd?
  • Welke algemene organisatorische en technisch-structurele aspecten zijn relevant op het beleidsniveau?

uitvoering

Deze laag omvat de implementatie van de IT-diensten, zoals webapplicaties, en de hieraan gerelateerde infrastructuur, zoals platform en netwerk. De juiste auditelementen worden geïdentificeerd op basis van enkele hulpvragen, zoals:

  • Welke webapplicatie-componenten spelen een rol?
  • Hoe moeten deze webapplicatie-componenten zijn geïmplementeerd, wat betreft eigenschappen en features-configuratie?
  • Hoe moeten de features van de objecten zijn geconfigureerd?
  • Welke gedrag moeten de betrokken objecten en actoren vertonen?
  • Welke functies dienen te zijn geleverd?
  • Welke specifieke voorschriften en instructies zouden moeten gelden voor de implementatie van het auditobject (business processen of IT componenten)?
  • Hoe moeten objecten zijn samengesteld en vormgegeven?

control

Deze laag bevat evaluatie- en metingaspecten van webapplicaties. Hiernaast bevat deze laag beheerprocessen die noodzakelijk zijn voor de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen zijn niet alleen gericht op het bijsturen van de geïmplementeerde webapplicaties, maar ook om het bijsturen van en/of aanpassen van visie en uitgestippeld beleid, afgesproken capaciteitsbehoefte en de eerder geformuleerde conditionele elementen in de beleidscontext, die gebaseerd zijn op “onzekere” informatie en aannames, De relevante control-aspecten worden geïdentificeerd met behulp van de karakterisering van het auditobject en enkele hulpvragen:

  • Welke beheerprocessen zouden moeten zijn ingericht?
  • Welke specifieke controlerichtlijnen moeten zijn uitgevaardigd om ervoor te zorgen dat de webapplicatie op de juiste wijze worden gerealiseerd voor het leveren van de juiste diensten?
  • Aan welke (non-)functionele eisen moet binnen de beheerprocessen en bij assesments aandacht worden besteed?
  • Welke organisatorische en technisch-structurele aspecten zijn van toepassing op de webapplicatie?

Deeloverzichten binnen Beveiligingsaspect Uitvoering

Elk normenkader kent zijn eigen overzichtspagina van principes en normen binnen dit aspect:

Overzichtspagina Control Normenkader
Huisvesting Controldomein BIO Thema Huisvesting Informatievoorziening
Privacy Control
Toegangbeveiliging Controldomein BIO Thema Toegangbeveiliging

Alle Principes binnen Beveiligingsaspect Uitvoering

ID Principe Criterium
Huisv_U.01 Richtlijnen gebieden en ruimten Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02 Bedrijfsmiddelen inventaris Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03 Fysieke zonering 'Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04 Beveiligingsfaciliteiten ruimten Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en toegepast.
Huisv_U.05 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06 Apparatuur positionering Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07 Onderhoud Apparatuur Apparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08 Apparatuur verwijdering Alle onderdelen van de apparatuur die opslagmedia bevatten moeten worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09 Bedrijfsmiddelen verwijdering Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10 Laad en los locatie Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11 Bekabeling De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12 Huisvesting-IV architectuur Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.
LTV_U.01 Registratieprocedure “Registratie van gebruikers” Een formele registratie- en afmeldingsprocedure moet te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
LTV_U.02 Toegangsverlening procedure Een formele gebruikers toegangsverleningsprocedure (GTV) moet te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
LTV_U.03 Inlogprocedures Indien het beleid voor toegangbeveiliging dit vereist, moet toegang tot systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
LTV_U.04 Autorisatieproces Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
LTV_U.05 Wachtwoorden beheer Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.
LTV_U.06 Speciale toegangsrechten beheer Het toewijzen en gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..
LTV_U.07 Functiescheiding Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
LTV_U.08 Geheime authenticatie-informatie (IA) Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces.
… overige resultaten

Alle onderliggende Normen binnen Beveiligingsaspect Uitvoering

ID Norm Stelling
Huisv_U.01.01 Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten in een beveiligd gebied.
Huisv_U.01.02 In beveiligde gebieden wordt slechts onder toezicht gewerkt Zonder toezicht werken in beveiligde gebieden behoort te worden vermeden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.
Huisv_U.01.03 Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.
Huisv_U.01.04 Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten Foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele apparatuur, behoort, tenzij goedgekeurd, niet te worden toegelaten.
Huisv_U.01.05 Richtlijnen m.b.t. bezoek tot kritieke faciliteiten Bezoeker tot kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden gemonitord bij aankomst en vertrek;
  • verplicht badges te dragen;
  • worden continu onder toezicht onderworpen;
  • worden bewust gemaakt en krijgen instructie over de beveiliging van de omgeving en noodprocedures;
  • worden aangegeven dat het gebruik van audio en fotomateriaal niet is toegestaan.
Huisv_U.02.01 Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2).
Huisv_U.02.02 Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC Een RC- organisatie behoort bedrijfsmiddelen voor de Huisvesting-RC die relevant zijn in de levenscyclus van informatie te identificeren en hun belang te documenteren.

De levenscyclus van informatie behoort aanmaak, verwerking, opslag. overdracht, verwijdering en vernietiging te omvatten.

Documentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
Huisv_U.02.03 Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen De inventarislijst van de bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijn.
Huisv_U.02.04 Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2).
Huisv_U.02.05 Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten Inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt en kunnen ook voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële (beheer van bedrijfsmiddelen) redenen.
Huisv_U.03.01 Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende voorschriften:
  1. het Kader Rijkstoegangsbeleid (2010);
  2. het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  3. het Beveiligingsvoorschrift Rijk (BVR 2013).
Huisv_U.03.02 Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.
Huisv_U.03.03 Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.
Huisv_U.03.04 Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen.
Huisv_U.03.05 Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord.
Huisv_U.04.01 Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn.
Huisv_U.04.02 Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar Faciliteiten moeten zijn geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn. Voor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen.
Huisv_U.04.03 Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten niet vrij toegankelijk te zijn voor onbevoegden.
Huisv_U.04.04 Sleutelbeheer is ingericht op basis van een sleutelplan Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).
Huisv_U.05.01 De nutsvoorzieningen Nutsvoorzieningen dienen:
  • in overeenstemming te zijn met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • regelmatig te worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met an-dere nutsvoorzieningen;
  • regelmatig te worden geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zo nodig, te worden voorzien van een alarmsysteem om disfunctio-neren op te sporen;
  • voor zover nodig, te beschikken over meervoudige voeding met een verschillende fysieke route.
… overige resultaten
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen