Beveiligingsprincipes
Uit NORA Online
Op deze pagina vind u alle Beveiligingsprincipes uit de NORANederlandse Overheid Referentie Architectuur. Privacyprincipes komen oorspronkelijk voort uit de normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken onderdeel uit van de Information Security Object Repository (ISOR). Het is de bedoeling dat de Beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide principes en het thema Beveiliging.
Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.
Alle privacyprincipes
De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.
| ID | Naam | Criterium | Doelstelling |
|---|---|---|---|
| AppO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.02 | Systeem ontwikkelmethode | Ontwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.03 | Classificatie van Informatie | InformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.04 | Engineeringprincipes beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. | |
| AppO_B.05 | Business Impact Analyse | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.06 | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.07 | Kwaliteitsmanagement systeem | De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmacode en broncode bibliotheken behoort te worden beperkt. | De reden waarom de norm gehanteerd wordt. |
| AppO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.01 | Richtlijnen evaluatie ontwikkelactiviteiten | De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.02 | Versie Management | De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.03 | Patchmanagement van externe programmacode | Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. | |
| AppO_C.04 | (Software) configuratie management | De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.05 | Compliance management | De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.06 | Quality assurance | De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.07 | Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. | De reden waarom de norm gehanteerd wordt. |
| AppO_C.08 | Beheersing van software ontwikkeling(sprojecten) | De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.01 | Procedures voor wijzigingsbeheer m.b.t. applicaties | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door het gebruik van formele procedures voor wijzigingsbeheer. | |
| AppO_U.02 | Beperkingen voor de installatie van software(richtlijnen) | Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.03 | Richtlijnen voor programmacode (best practices) | Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.04 | Analyse en specificatie van informatiesystemen | De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.05 | Analyse en specificatie van informatiebeveiligingseisen | De beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen. | |
| AppO_U.06 | Applicatie ontwerp | Het applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.07 | Applicatie functionaliteiten | Informatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen. | |
| AppO_U.08 | Applicatiebouw | De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.09 | Testen van systeembeveiliging | Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest. | |
| AppO_U.10 | Systeem acceptatietests | Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. | |
| AppO_U.11 | Beschermen van testgegevens | Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.12 | Beveiligde ontwikkel- (en test) omgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.13 | Applicatiekoppelingen | De koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen. | |
| AppO_U.14 | Logging en monitoring | Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen. | De reden waarom de norm gehanteerd wordt. |
| AppO_U.15 | Applicatie architectuur | De functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd. | |
| AppO_U.16 | Tooling ontwikkelmethode | De ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus. | De reden waarom de norm gehanteerd wordt. |
| CommVZ_B.01 | Beleid en procedures informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. | |
| CommVZ_B.02 | Overeenkomsten over informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. | |
| CommVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd. | |
| CommVZ_B.04 | Organisatiestructuur van netwerkbeheer | In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan. | |
| CommVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. | |
| CommVZ_C.02 | Netwerk security compliancy checking | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks). | |
| CommVZ_C.03 | Evalueren netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. | |
| CommVZ_C.04 | Evalueren netwerk monitoring | Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. | |
| CommVZ_C.05 | Beheerorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen. | |
| CommVZ_U.01 | Richtlijnen netwerkbeveiliging | Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2). | |
| CommVZ_U.02 | Beveiligde inlogprocedure | Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure. | |
| CommVZ_U.03 | Netwerk beveiligingsbeheer | Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. | |
| CommVZ_U.04 | Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. | |
| CommVZ_U.05 | Beveiliging netwerkdiensten | Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. | |
| CommVZ_U.06 | Zonering en filtering | Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen). | |
| CommVZ_U.07 | Elektronische berichten | InformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd. | |
| CommVZ_U.08 | Toepassingen via openbare netwerken | InformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. | |
| CommVZ_U.09 | Gateway/Firewall | De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten. | |
| CommVZ_U.10 | Virtual Private Networks (VPN) | Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt. | |
| CommVZ_U.11 | Cryptografische Services | Ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet. | |
| CommVZ_U.12 | Wireless Access | Draadloos verkeer behoort te worden beveiligd met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie. | |
| CommVZ_U.13 | Netwerkconnecties | Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt. | |
| CommVZ_U.14 | Netwerkauthenticatie | 'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen. | |
| CommVZ_U.15 | Netwerk beheeractiviteiten | Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. | |
| CommVZ_U.16 | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s). | |
| CommVZ_U.17 | Netwerk beveiligingsarchitectuur | Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden. | |
| Huisv_B.01 | Huisvesting informatievoorziening Beleid | De directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen. | Bewerkstelligen dat de Huisvesting Informatievoorziening de diensten kunnen leveren waarmee de organisatie haar doelstellingen kan realiseren. |
| Huisv_B.02 | Wet en regelgeving | Voor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. | Voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen. |
| Huisv_B.03 | Eigenaarschap | Huisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben. | Bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. |
| Huisv_B.04 | Certificering | De Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. | Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet. |
| Huisv_B.05 | Contractmanagement | Huisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. | Huisvestingsvoorzieningen voldoen aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau. |
| Huisv_B.06 | Service Levelmanagement | Het management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA). | Bewerkstelligen dat de Huisvestingsservices conform afspraken geleverd worden (leveren wat je belooft). |
| Huisv_B.07 | Interne en Externe bedreigingen | Fysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen. | Bewerkstelligen van de weerbaarheid van de Huisvesting Informatievoorziening en het voorkomen van verstoringen in de Huisvesting. |
| Huisv_B.08 | Training en Awareness | Alle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie. | Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
|
| Huisv_B.09 | Organisatiestructuur | De Huisvestingsorganisatie behoort voor de te realiseren Huisvesting Informatievoorziening een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, bevoegdheden en verantwoordelijkheden (TBV) vast te stellen. | Invullen, coördineren en borgen van de Huisvestingsvoorzieningen. |
| Huisv_B.10 | Huisvestingsstructuur | De inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur. | Zorgen dat er inzicht bestaat in de wijze waarop de fysieke beveiliging van kantoren en ruimten vorm zijn gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. |
| Huisv_C.01 | Controle richtlijn | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. | Effectieve beheersing van de bedrijfsmiddelen binnen Huisvesting Informatievoorziening. |
| Huisv_C.02 | Onderhoudsplan | Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen. | Zorgen dat vastgoed zoals gebouwen niet verwaarloosd worden en niet in verval raken. |
| Huisv_C.03 | Continuiteitsmanagement | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. | Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. |
| Huisv_C.04 | Huisvesting Informatievoorziening Beheersingsorganisatie | De stakeholder van de Huisvesting Informatievoorziening behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van de Huisvesting-IV-dienstverlening. |
| Huisv_C.05 | Huisvesting Informatievoorzieninig Beheersingsarchitectuur | Deze norm is nog in ontwikkeling. | Deze norm is nog in ontwikkeling. |
| Huisv_U.01 | Richtlijnen gebieden en ruimten | Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast. | Bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten. |
| Huisv_U.02 | Bedrijfsmiddelen inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. | Bewerkstelligen dat een adequate informatie beschikbaar wanneer het noodzakelijk is. |
| Huisv_U.03 | Fysieke zonering | Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. | Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatiever-werkende faciliteiten van de organisatie voorkomen. |
| Huisv_U.04 | Beveiligingsfaciliteiten ruimten | Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en zijn toegepast. | Het voorkomen van onbevoegde toegang tot ruimten. |
| Huisv_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. | Bewerkstelligen dat het disfunctioneren van deze nutsvoorzieningen geen negatieve invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de Huisvesting-RC-dienstverlening. |
| Huisv_U.06 | Apparatuur positionering | Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. | Apparatuur wordt zodanig geïnstalleerd (= geplaatst en beschermd) dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbe-voegde toegang worden verkleind. |
| Huisv_U.07 | Onderhoud Apparatuur | Apparatuur behoort op een correcte wijze te worden onderhouden. | Het waarborgen dat deze continu beschikbaar en integer is. |
| Huisv_U.08 | Apparatuur verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | Waarborging dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| Huisv_U.09 | Bedrijfsmiddelen verwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring. | Bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van be-drijfsmiddelen. |
| Huisv_U.10 | Laad en los locatie | De toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen. | Het voorkomen van onbevoegde toegang tot de huisvesting van de Rekencentra, zoals terrein en gebouwen. |
| Huisv_U.11 | Bekabeling | De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging. | Bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet. |
| Huisv_U.12 | Huisvesting-IV architectuur | Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar. | Een Huisvesting-IV-landschap bieden dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen. |
| LTV_C.04 | Toegangbeveiliging beheers(ings)organisatie | De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. |
| SERV_B.01 | Beleid voor beveiligde inrichting en onderhoud | Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast. | De reden waarom de norm gehanteerd wordt. |
| SERV_B.02 | Principes voor inrichten van beveiligde servers | De principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers. | |
| SERV_B.03 | Serverplatform architectuur | De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd. | |
| SERV_C.01 | Evaluatie richtlijnen servers en besturingssystemen | Er behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.02 | Beoordeling technische serveromgeving | Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.03 | Beheerderactiviteiten vastgelegd in logbestanden | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. | |
| SERV_C.04 | Registratie gebeurtenissen | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. | De reden waarom de norm gehanteerd wordt. |
| SERV_C.05 | Monitoren van serverplatforms | De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren. | |
| SERV_C.06 | Beheerorganisatie serverplatforms | Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform. | |
| SERV_U.01 | Bedieningsprocedures | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. | |
| SERV_U.02 | Standaarden voor configuratie van servers | Het serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden. | |
| SERV_U.03 | Malwareprotectie | Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers. | |
| SERV_U.04 | Beheer van serverkwetsbaarheden | InformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.05 | Patchmanagement | Patchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. | |
| SERV_U.06 | Beheer op afstand | Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.07 | Onderhoud van servers | Servers behoren correct te worden onderhouden om de continue beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en integriteit te waarborgen. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.08 | Veilig verwijderen of hergebruiken van serverapparatuur | Alle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. | |
| SERV_U.09 | Hardenen van servers | Voor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld. | |
| SERV_U.10 | Serverconfiguratie | Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.11 | Beveiliging Virtueel serverplatform | Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd. | |
| SERV_U.12 | Beperking van software-installatie | Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. | |
| SERV_U.13 | Kloksynchronisatie | De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron. | De reden waarom de norm gehanteerd wordt. |
| SERV_U.14 | Ontwerpdocumentatie | Het ontwerp van een serverplatform behoort te zijn gedocumenteerd. | |
| TVZ_B.01 | Toegangbeveiligingsbeleid | Een toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. | Het beheersen van de toegang tot informatie. |
| TVZ_B.02 | Eigenaarschap van bedrijfsmiddelen | Het eigenaarschap en de verantwoordelijkheden voor logische bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen moeten zijn vastgelegd. | Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen. |
| TVZ_B.03 | Beveiligingsfunctie toegangbeveiliging | Een gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie. | Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht. |
| TVZ_B.04 | Cryptografie | Ter bescherming van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd. | Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te beschermen. |
| TVZ_B.05 | Toegangbeveiligingsorganisatie | De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. | Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie. |
| TVZ_B.06 | Toegangbeveiligingsarchitectuur | De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd. | De organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur vastgelegd. |
| TVZ_C.01 | Beoordelingsrichtlijnen en procedures | Om het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren moeten procedures te zijn vastgesteld. | Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten. |
| TVZ_C.02 | Beoordeling van toegangsrechten | Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig te beoordelen. | Het vaststellen of:
|
| TVZ_C.03 | Gebeurtenissen registreren | Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig te worden beoordeeld. | Het maakt mogelijk:
|
| TVZ_C.04 | Beheersorganisatie toegangsbeveiliging | De eigenaar van het toegangsbeveiliging systeem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. | Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem. |
| TVZ_U.01 | Registratieprocedure | Een formele registratie en afmeldprocedure moet worden geïmplementeerd om toewijzing van 'toegangsrechten mogelijk te maken. | Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen. |
| TVZ_U.02 | Toegangsverlening procedure | Een formele gebruikers toegangverleningsprocedure moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. | Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden. |
| TVZ_U.03 | Inlogprocedures | Als het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. met behulp van een beveiligde inlogprocedure. | Het voorkomen van niet-geautoriseerde toegang tot bedrijfsinformatie en informatiesystemen. |
| TVZ_U.04 | Autorisatieproces | Een formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten. | Het bewerkstelligen dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. |
| TVZ_U.05 | Wachtwoordbeheer | Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden waarborgen. | Het bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen. |
| TVZ_U.06 | Speciale toegangsrechten beheer | Het toewijzen en het gebruik van speciale toegangsrechten moeten worden beperkt en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak.. | Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten. |
| TVZ_U.07 | Functiescheiding | Conflicterende taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. | Het bewerkstelligen dat:
|
| TVZ_U.08 | Authenticatie-informatie | Het toewijzen van geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie moet worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. via een formeel beheersproces. | Het bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in het systeem. |
| TVZ_U.09 | Autorisatie | Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties (van toepassingen) moet worden beperkt in overeenstemming met het toegangbeveiligingsbeleid. | Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. |
| TVZ_U.10 | Autorisatievoorzieningsfaciliteiten | Ter ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals een personeelsregistratiesysteem, een autorisatiebeheer systeem en autorisatiefaciliteiten beschikbaar zijn. | Het - voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten - inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties. |
| TVZ_U.11 | Fysieke toegangsbeveiliging | Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. | Bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt. |
