Beveiligingsprincipes

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Beveiligingsprincipes uit de NORANederlandse Overheid Referentie Architectuur. Privacyprincipes komen oorspronkelijk voort uit de normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken onderdeel uit van de Information Security Object Repository (ISOR). Het is de bedoeling dat de Beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide principes en het thema Beveiliging.

Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.

Alle privacyprincipes

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.

IDNaamCriteriumDoelstelling
AppO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
AppO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.De reden waarom de norm gehanteerd wordt.
AppO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.De reden waarom de norm gehanteerd wordt.
AppO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.De reden waarom de norm gehanteerd wordt.
AppO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.De reden waarom de norm gehanteerd wordt.
AppO_B.07Kwaliteitsmanagement systeemDe doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..De reden waarom de norm gehanteerd wordt.
AppO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.De reden waarom de norm gehanteerd wordt.
AppO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.De reden waarom de norm gehanteerd wordt.
AppO_C.01Richtlijnen evaluatie ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.De reden waarom de norm gehanteerd wordt.
AppO_C.02Versie ManagementDe projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.De reden waarom de norm gehanteerd wordt.
AppO_C.03Patchmanagement van externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
AppO_C.04(Software) configuratie managementDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.De reden waarom de norm gehanteerd wordt.
AppO_C.05Compliance managementDe projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.De reden waarom de norm gehanteerd wordt.
AppO_C.06Quality assuranceDe projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.De reden waarom de norm gehanteerd wordt.
AppO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatformBij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.De reden waarom de norm gehanteerd wordt.
AppO_C.08Beheersing van software ontwikkeling(sprojecten)De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.De reden waarom de norm gehanteerd wordt.
AppO_U.01Procedures voor wijzigingsbeheer m.b.t. applicatiesWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02Beperkingen voor de installatie van software(richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.De reden waarom de norm gehanteerd wordt.
AppO_U.03Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.De reden waarom de norm gehanteerd wordt.
AppO_U.04Analyse en specificatie van informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.De reden waarom de norm gehanteerd wordt.
AppO_U.05Analyse en specificatie van informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06Applicatie ontwerpHet applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.De reden waarom de norm gehanteerd wordt.
AppO_U.07Applicatie functionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.De reden waarom de norm gehanteerd wordt.
AppO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10Systeem acceptatietestsVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11Beschermen van testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.De reden waarom de norm gehanteerd wordt.
AppO_U.12Beveiligde ontwikkel- (en test) omgevingOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.De reden waarom de norm gehanteerd wordt.
AppO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.14Logging en monitoringApplicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.De reden waarom de norm gehanteerd wordt.
AppO_U.15Applicatie architectuurDe functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.De reden waarom de norm gehanteerd wordt.
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
CommVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.
CommVZ_C.02Netwerk security compliancy checkingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks).
CommVZ_C.03Evalueren netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
CommVZ_C.04Evalueren netwerk monitoringToereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CommVZ_C.05Beheerorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.
CommVZ_U.01Richtlijnen netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
CommVZ_U.03Netwerk beveiligingsbeheerNetwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CommVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CommVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CommVZ_U.07Elektronische berichtenInformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
CommVZ_U.08Toepassingen via openbare netwerkenInformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CommVZ_U.09Gateway/FirewallDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CommVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CommVZ_U.11Cryptografische ServicesTer bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CommVZ_U.12Wireless AccessDraadloos verkeer behoort te worden beveiligd met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CommVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CommVZ_U.14Netwerkauthenticatie'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.
CommVZ_U.15Netwerk beheeractiviteitenNetwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen.
CommVZ_U.16Vastleggen en monitoring van netwerkgebeurtenissen (events)Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s).
CommVZ_U.17Netwerk beveiligingsarchitectuurBeveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.
Huisv_B.01Huisvesting informatievoorziening BeleidDe directie behoort ten behoeve van Huisvesting-IV beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.Bewerkstelligen dat de Huisvesting-IV de diensten kunnen leveren waarmee de organisatie haar doelstellingen kan realiseren.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.
Huisv_B.03EigenaarschapHuisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.Bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
Huisv_B.04CertificeringDe Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
Huisv_B.06Service LevelmanagementHet management van Huisvesting-IV behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreement of SLA).Bewerkstelligen dat de Huisvesting-IV services conform afspraken geleverd worden (leveren wat je hebt beloofd).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming tegen natuurrampen, ongelukken en kwaadwillige aanvallen behoort te worden ontworpen en toegepast .Bewerkstelligen van de weerbaarheid van de Huisvesting-IV en het voorkomen van verstoringen in de Huisvesting-IV.
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
  • zich bewust zijn van bedreigingen en gevaren met betrekking tot Huisvesting-IV;
  • continu op de hoogte zijn van het vigerende Huisvesting-IV beleid;
  • continu bewust blijven van relevante maatregelen.
Huisv_B.09OrganisatiestructuurDe huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden (TVB) vast te stellen.Invullen, coördineren en borgen van de Huisvesting-IV voorzieningen.
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Effectieve beheersing van de bedrijfsmiddelen binnen Huisvesting IV.
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV behoort op basis van een risicoafweging en onderhoudsbepalingen een onderhoudsplan te zijn opgesteld.Zorgen dat vastgoed zoals gebouwen niet verwaarloosd worden en niet in verval raken.
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.
Huisv_C.04Huisvesting-IV beheersingsorganisatieDe stakeholder van de Huisvesting-IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van de Huisvesting-IV dienstverlening.
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’.		Bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001.		Bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.
Huisv_U.03Fysieke zoneringFysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast.Het voorkomen van onbevoegde toegang tot ruimten.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Bewerkstelligen dat het disfunctioneren van deze nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de Huisvesting-IV dienstverlening.
Huisv_U.06Apparatuur positioneringApparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'.		Apparatuur wordt zodanig geïnstalleerd (= geplaatst en beschermd) dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.Het waarborgen dat deze continu beschikbaar en integer is.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Waarborging dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.Bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van bedrijfsmiddelen.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk te worden afgeschermd van IT-voorzieningen.Het voorkomen van onbevoegde toegang tot Huisvesting-IV, zoals terreinen en gebouwen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging.Bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.Een Huisvesting-IV landschap bieden dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.
SERV_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
SERV_B.02Principes voor inrichten van beveiligde serversDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03Serverplatform architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
SERV_C.01Evaluatie richtlijnen servers en besturingssystemenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.De reden waarom de norm gehanteerd wordt.
SERV_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.De reden waarom de norm gehanteerd wordt.
SERV_C.03Beheerderactiviteiten vastgelegd in logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04Registratie gebeurtenissenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.De reden waarom de norm gehanteerd wordt.
SERV_C.05Monitoren van serverplatformsDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06Beheerorganisatie serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.
SERV_U.01BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
SERV_U.02Standaarden voor configuratie van serversHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.
SERV_U.03MalwareprotectieTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SERV_U.04Beheer van serverkwetsbaarhedenInformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.De reden waarom de norm gehanteerd wordt.
SERV_U.05PatchmanagementPatchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SERV_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.De reden waarom de norm gehanteerd wordt.
SERV_U.07Onderhoud van serversServers behoren correct te worden onderhouden om de continue beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en integriteit te waarborgen.De reden waarom de norm gehanteerd wordt.
SERV_U.08Veilig verwijderen of hergebruiken van serverapparatuurAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SERV_U.09Hardenen van serversVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SERV_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.De reden waarom de norm gehanteerd wordt.
SERV_U.11Beveiliging Virtueel serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SERV_U.12Beperking van software-installatieVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SERV_U.13KloksynchronisatieDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.De reden waarom de norm gehanteerd wordt.
SERV_U.14OntwerpdocumentatieHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.
TVZ_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.Het beheersen van de toegang tot informatie.
TVZ_B.02Eigenaarschap bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden voor logische bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen moeten zijn vastgelegd.Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
TVZ_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht.
TVZ_B.04CryptografieTer bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd.Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te beschermen.
TVZ_B.05ToegangsbeveiligingsorganisatieDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.
TVZ_B.06ToegangsbeveiligingsarchitectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting en beheer van het toegangsvoorzieningsdomein.
TVZ_C.01Beoordelingsrichtlijnen en proceduresOm het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren, moeten procedures zijn vastgesteld.Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.
TVZ_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
TVZ_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
    • TVZ_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben, waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.
    TVZ_U.01RegistratieprocedureEen formele registratie- en afmeldprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.
    TVZ_U.02ToegangsverleningsprocedureEen formele gebruikerstoegangsverleningsprocedure moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.
    TVZ_U.03InlogproceduresAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. met behulp van een beveiligde inlogprocedure.Het voorkomen van niet-geautoriseerde toegang tot bedrijfsinformatie en informatiesystemen.
    TVZ_U.04AutorisatieprocesEen formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.Het bewerkstelligen dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.
    TVZ_U.05WachtwoordbeheerSystemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen.Het bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.
    TVZ_U.06Speciale toegangsrechtenbeheerHet toewijzen en het gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak..Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.
    TVZ_U.07FunctiescheidingConflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.Het bewerkstelligen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd;
  • niemand een gehele procescyclus kan beïnvloeden.
    • TVZ_U.08Geheime authenticatie-informatieHet toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheerproces.Het bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem.
    TVZ_U.09AutorisatieToegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties (van toepassingen) moet worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
    TVZ_U.10AutorisatievoorzieningenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals een personeelsregistratiesysteem, een autorisatiebeheer systeem en autorisatiefaciliteiten beschikbaar zijn.Het - voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten - inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties.
    TVZ_U.11Fysieke toegangsbeveiligingBeveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.
    Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiligingsprincipes&oldid=31742"