Beveiligingsprincipes

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle beveiligingsprincipes uit de NORA. Beveiligingsprincipes komen oorspronkelijk voort uit de normenkaders van het CIP (Centrum Informatiebeveiliging en Privacybescherming) en maken onderdeel uit van de ISOR (Information Security Object Repository). Het is de bedoeling dat de beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORA Basisprincipes en Afgeleide principes en het thema Beveiliging.

Beveiligingsprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Beveiliging.

Alle beveiligingsprincipes[bewerken]

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van beveiligingsprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.

IDNaamCriteriumDoelstelling
APO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.Het beheersen van het (beveiligd) ontwikkelen van applicaties.
APO_B.02Systeem-ontwikkelmethodeOntwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd.Ervoor zorgen dat applicaties die ontwikkeling worden, voldoen aan alle eisen/vereisten.
APO_B.03Classificatie van informatieInformatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.Het inzichtelijk maken welke mate van bescherming de informatie nodig heeft.
APO_B.04Engineeringsprincipes voor beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.Het continue hebben van een toegepaste beveiligingsbasis voor alle verrichtingen voor het implementeren van informatiesystemen.
APO_B.05Business Impact Analyse (BIA)De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie.Het vaststellen van een mogelijke bedrijfsimpact die de verantwoordelijke wil accepteren, in het geval de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie wordt aangetast.
APO_B.06Privacy en bescherming persoonsgegevensBij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving.Het reduceren van privacy-risico’s voor de betrokkene en het vermijden van schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving die betrekking hebben op de bescherming van persoonsgegevens.
APO_B.07KwaliteitsmanagementsysteemDe doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.Het zorgen dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst op het juiste kwaliteitsniveau.
APO_B.08Toegangsbeveiliging en programmacodeToegang tot de programmabroncodebibliotheken behoren te worden beperkt.Het zorgen dat alleen die personen die toegang nodig hebben voor het uitvoeren van hun werkzaamheden toegang krijgen tot de programmabroncodebibliotheken en samenhangende elementen
APO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.Het ondersteunen van de (project-)organisatie met betrekking tot informatiebeveiliging in het applicatie-ontwikkeltraject.
APO_C.01Richtlijnen evaluatie-ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode.Het adequaat controle-activiteiten en rapportages opstellen gericht op ontwikkelactiviteiten.
APO_C.02VersiebeheerDe projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer op procesmatige en efficiënte wijze ingericht te hebben.Dat eenieder die in rol heeft in het systeem-ontwikkeltraject op ieder moment kan beschikken over de juiste versie van een document, programma e.d.
APO_C.03Patchmanagement externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.Zekerstellen dat technische en software kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
APO_C.04(Software)configuratiebeheerDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.Het waarborgen dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
APO_C.05Quality assuranceDe projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen.Het kunnen vaststellen van de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling.
APO_C.06Compliance-managementDe projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.Het reduceren van risico’s en het vermijden van (im)materiële schade die kan voortvloeien uit het niet nakomen van wet- en regelgeving, overeenkomsten, beleid en andere verplichtingen.
APO_C.07Technische beoordeling informatiesystemenBij veranderingen van besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.Er ontstaat geen nadelige impact op de activiteiten of de beveiliging van de organisatie.
APO_C.08Beheersing softwareontwikkelingDe projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van softwareontwikkeling.
APO_U.01Wijzigingsbeheerprocedures voor applicaties en systemenWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.Het gecontroleerd laten verlopen van wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling.
APO_U.02Beperkingen software-installatie (richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken zoals het weglekken van informatie, verlies van integriteit of andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.
APO_U.03Richtlijnen programmacodeVoor het ontwikkelen van de (programma)code zijn specifieke regels van toepassing en behoort gebruik te zijn gemaakt van specifieke best practices.Het zorgen voor een efficiënt en effectief voortbrengingsproces van de applicatie die effectief onderhoudbaar is.
APO_U.04Analyse en specificatie informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.Een basis leggen voor de volgende fases (de ontwerpfase en verder) met geanalyseerde en gespecificeerde functionele eisen.
APO_U.05Analyse en specificatie informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen.Het waarborgen dat de informatiebeveiligingseisen integraal onderdeel uitmaken van de eisen van informatiesystemen (nieuw en uitgebreid).
APO_U.06Applicatie-ontwerpHet applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.Het opstellen van een veilig en gedegen/solide applicatieontwerp.
APO_U.07ApplicatiefunctionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoerfuncties, verwerkingsfuncties en uitvoerfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen.Het bedrijfsproces optimaal te ondersteunen.
APO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met (industrie) good practice en door individuen die beschikken over de juiste vaardigheden en tools en behoort te worden gereviewd.Het zorgen dat er geen zwakke punten in de veiligheid worden geïntroduceerd en dat applicaties in staat zijn om kwaadaardige aanvallen te weerstaan.
APO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.Het nagaan of de applicatie met zijn bedrijfs- en beveiligingsfunctionaliteiten werkt conform de eerder vastgelegde eisen.
APO_U.10SysteemacceptatietestVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.Toetsen of de requirements adequaat in het uiteindelijke product, het nieuwe informatiesysteem, zijn verwerkt.
APO_U.11Beschermen testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.Het vermijden van persoonsgegevens of enige andere vertrouwelijke informatie voor testdoeleinden en de bescherming waarborgen van gegevens die voor het testen van informatiesystemen zijn gebruikt.
APO_U.12Beveiligde ontwikkelomgevingenOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.De reden waarom de norm gehanteerd wordt.
APO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen.Het kunnen leveren van de juiste services en de informatiebeveiliging van de betrokken applicaties te kunnen waarborgen.
APO_U.14Logging en monitoringApplicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.Ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen.
APO_U.15Applicatie-architectuurDe functionele en beveiligingseisen behoren in een applicatie-architectuur, conform architectuurvoorschriften, in samenhang te zijn vastgelegd.Het richting geven aan de te ontwikkelen applicatie en een betrouwbare werking van de applicatie te garanderen.
APO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.De ontwikkelcyclus van een applicatie met de continue veranderingen in de onderkende fasen wordt effectief uitgevoerd.
CLD_B.01Wet- en regelgevingAlle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en beveiligingseisen.
CLD_B.02CloudbeveiligingsstrategieDe CSP behoort een cloud-beveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.Het vooraf vaststellen wat de CSC wil nastreven met de beveiliging van clouddiensten en hoe dat bereikt gaat worden.
CLD_B.03Exit-strategieIn de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.


((NB: Weolcan: https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit))
Het vooraf vaststellen wat de organisatie wil nastreven bij beëindiging van clouddiensten en hoe dat bereikt gaat worden.
CLD_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren.Het beheersen van clouddiensten; dat clouddiensten bijdraagt aan het leveren van producten waarmee de organisatie haar doelstellingen kan realiseren.
CLD_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.De verantwoordelijke functionarissen binnen de CSC en CSP inzicht geven over de status van de implementatie en het functioneren van de clouddiensten.
CLD_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden.Om personen die verantwoordelijk zijn voor clouddiensten in staat te stellen effectief en tijdig belangrijke informatierisico's te identificeren, evalueren en de behandeling te bepalen nodig om deze risico's binnen aanvaardbare grenzen te houden.
CLD_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de CSP naar de CSC.Zorgen dat IT-functionaliteiten aan de vereiste beveiligingsaspecten voldoen.
CLD_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.Het hervatten van kritieke bedrijfsprocessen binnen kritieke tijdschema’s.
CLD_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.Het verkrijgen van een gedegen set aan beveiligingsmaatregelen.
CLD_B.10BeveiligingsorganisatieDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.Om een gedefinieerde, goedgekeurde, begrepen en werkende structuur op te zetten voor de opzet, bestaan en werking beheer van informatiebeveiliging binnen de CSP.
CLD_B.11ClouddienstenarchitectuurDe CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten.Het bieden van een clouddienstenlandschap en daarmee richting geven aan de clouddienst en een betrouwbare werking van de clouddienst garanderen.
CLD_C.01Servicemanagementbeleid en evaluatierichtlijnenDe CSP heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controleactiviteiten en rapportages.Richting geven aan de wijze waarop de beheerorganisatie voor clouddiensten moet zijn ingericht en de wijze waarop deze moet functioneren.
CLD_C.02Risico-controlRisicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.Tijdig nagaan of er veranderingen aanwezig zijn die van invloed zijn op de uitkomst van de risico-assessment.
CLD_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.Het voorkomen van het overtreden van wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en zekerheid bieden over het beoogde beveiligingsniveau van de clouddienst.
CLD_C.04Technische kwetsbaarhedenbeheerInformatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken.Het voorkomen van het benutten van technische kwetsbaarheden door onbevoegden.
CLD_C.05Security MonitoringDe performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.Gebeurtenissen (performance van de informatiebeveiliging van de cloud-omgeving) vastleggen, bewijs verzamelen en betrokkenen daarvan op de hoogte te stellen.
CLD_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het adequaat beheersen en beheren van clouddiensten.
CLD_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante, nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.Het bewerkstelligen van de benodigde coördinatie van activiteiten voor de inrichting, dienstverlening en beheersing van clouddiensten.
CLD_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit een risico-analyse en risico-evaluatie met de criteria en de doelstelling voor clouddiensten van de CSP.Een beeld krijgen van mogelijke risico’s die van invloed kunnen zijn op clouddiensten en vaststellen op welke wijze de risico's beheerst kunnen worden of teruggebracht tot een aanvaardbaar niveau.
CLD_U.03BedrijfscontinuïteitsservicesInformatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.Zorgen tijdens normaal bedrijf en bij voorkomende calamiteiten voor het herstel van de data en de dienstverlening binnen de overeengekomen maximale uitvalsduur, waarbij dataverlies wordt voorkomen.
CLD_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.Het zeker stellen dat clouddiensten en de data kan worden hersteld, binnen de overeengekomen periode, na onderbreking van de dienstverlening en/of vernietiging van de data.
CLD_U.05DataprotectieData (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.Het zorgen dat BBN2 of hoger classificeerde data beveiligd is met cryptografische maatregelen en voldoet aan de Nederlandse wetgeving.
CLD_U.06Dataretentie en gegevensvernietigingGearchiveerde data behoort gedurende de overeengekomen bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden vernietigd.Het beschikbaar blijven van gegevens indien nodig voor bijvoorbeeld verantwoording en indien gegevens niet meer archiefwaardig zijn, ze tijdig worden gewist/vernietigd.
CLD_U.07DatascheidingCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.Zorgen dat de data van of in beheer van de CSC alleen toegankelijk is voor deze CSC.
CLD_U.08Scheiding dienstverleningDe cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.Het voorkomen van ongewenste beïnvloeding of communicatie van data tussen de CSC en CSP en andere CSC’s.
CLD_U.09Malware-protectieTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.Het zorgen dat informatie in de keten van de CSC en de CSP continue beschermd wordt tegen malware.
CLD_U.10Toegang IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.Onbevoegde toegang tot bedrijfsprocessen/data in de clouddiensten voorkomen.
CLD_U.11CryptoservicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige data tijdens transport via netwerken en opslag.
CLD_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.Het bewaken en beheersen van koppelvlakken in de keten van de CSP en de CSC.
CLD_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service die aan de CSC wordt geleverd.De kwaliteit van de te leveren clouddienst aan de CSC komt overeen met de overeengekomen QoS, informatieveiligheid en kosten.
CLD_U.14Interoperabiliteit en portabiliteitCloud-services zijn bruikbaar (interoperabiliteit) op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.Het zorgen dat cloud-services bruikbaar zijn op verschillende IT-platforms en data makkelijk kan worden doorgegeven aan een andere CSP zonder dat de integriteit en vertrouwelijkheid wordt aangetast.
CLD_U.15Logging en monitoringLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het tijdig detecteren en vastleggen van ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen van IT-functies in de informatieketen.
CLD_U.16ClouddienstenarchitectuurDe clouddienstenarchitectuur specificeert de samenhang en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.Het bieden van een cloud-landschap ter ondersteuning van de CSC-bedrijfsprocessen dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.
CLD_U.17Multi-tenantarchitectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.Het bieden van een multi-tenantlandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.
CVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.Het beheersen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tijdens transport in netwerken.
CVZ_B.02Overeenkomsten informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken.
CVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het beheersen van cryptografie binnen netwerken en communicatieservices.
CVZ_B.04Organisatiestructuur netwerkbeheerIn het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.Het invullen, coördineren en borgen van het netwerkbeheer.
CVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn.
CVZ_C.02Compliance-toets netwerkbeveiligingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid.
CVZ_C.03Evalueren robuustheid netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen.
CVZ_C.04Evalueren netwerkgebeurtenissen (monitoring)Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.Detectie, vastlegging en onderzoek mogelijk te maken van netwerkgebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging.
CVZ_C.05Beheerorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.Het invullen, coördineren en borgen van de beheersing van de netwerkbeveiliging.
CVZ_U.01Richtlijnen voor netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer 1.Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging.
CVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.Onbevoegde toegang tot (communicatie)systemen en toepassingen voorkomen.
CVZ_U.03NetwerkbeveiligingsbeheerNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat.
CVZ_U.04Vertrouwelijkheids- en geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.Het beschermen van vertrouwelijke informatie waaraan dienstverleners en partners worden blootgesteld.
CVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.Bij uitval van netwerkdiensten kan de continuïteit van de bedrijfsvoering optimaal gecontinueerd worden; een contante beschikbaarheid en continuïteit garanderen.
CVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).Veilig communiceren vanuit het ene naar het andere netwerk.
CVZ_U.07Elektronische berichtenInformatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd.Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk.
CVZ_U.08Toepassingen via openbare netwerkenInformatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.Het effectief beveiligen van het netwerkverkeer via openbare netwerken.
CVZ_U.09Gateways en firewallsDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren.
CVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.Het zorgen voor een veilige verbinding, waarbij getransporteerde informatie over netwerken vertrouwelijk blijft.
CVZ_U.11Cryptografische servicesTer bescherming van de vertrouwelijkheid en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.Het behouden van de vertrouwelijkheid en integriteit van de getransporteerde informatie.
CVZ_U.12Draadloze toegangDraadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatie van gebruikers en versleuteling van de communicatie.Het zorgen dat onbevoegden geen gebruik kunnen maken van devices waartoe ze niet gemachtigd zijn en dat het draadloze verkeer beschikbaar, integer en vertrouwelijk blijft.
CVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.Bij beheer, storingen en calamiteiten weet de organisatie wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd.
CVZ_U.14NetwerkauthenticatieAuthenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten.
CVZ_U.15NetwerkbeheeractiviteitenNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat.
CVZ_U.16Vastleggen en monitoring netwerkgebeurtenissen (events)Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s).Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden.
CVZ_U.17NetwerkbeveiligingsarchitectuurDe beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.
HVI_B.01Huisvesting informatievoorzieningenbeleidTen behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.
HVI_B.02Wet- en regelgeving Huisvesting IVAlle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.
HVI_B.03EigenaarschapHuisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
HVI_B.04CertificeringHuisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
HVI_B.05ContractmanagementHuisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau.
HVI_B.06Service Level ManagementHet management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).
HVI_B.07In- en externe bedreigingenTegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.
HVI_B.08Training en bewustwordingAlle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
  • zich bewust zijn van bedreigingen en gevaren van huisvesting IV;
  • continu op de hoogte zijn van het vigerende huisvesting IV-beleid;
  • continu bewust blijven van relevante maatregelen.
HVI_B.09Huisvesting IV-organisatiestructuurDe huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.Het invullen, coördineren en borgen van huisvesting IV.
HVI_C.01Controle-richtlijnen huisvesting IVBedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV.
HVI_C.02OnderhoudsplanVoor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen.Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.
HVI_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald.
HVI_C.04Beheersorganisatie huisvesting IVDe stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening.
HVI_U.01Richtlijn gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1.Het bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten.
HVI_U.02Bedrijfsmiddelen-inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.
HVI_U.03Fysieke zoneringFysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.
HVI_U.04BeveiligingsfaciliteitenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1.Het voorkomen van onbevoegde toegang tot ruimten.
HVI_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.
HVI_U.06Apparatuur-positioneringApparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
HVI_U.07Apparatuur-onderhoudApparatuur behoort op een correcte wijze te worden onderhouden.Het waarborging dat apparatuur continue beschikbaar en integer is.
HVI_U.08Apparatuur-verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.
HVI_U.09BedrijfsmiddelenverwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.Het bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van bedrijfsmiddelen.
HVI_U.10Laad- en loslocatieToegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.Het voorkomen van onbevoegde toegang tot huisvesting IV, zoals terreinen en gebouwen.
HVI_U.11BekabelingVoedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.
HVI_U.12Huisvesting IV-architectuurVoor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.
SVP_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.Het beheersen van de beveiligde inrichting en onderhoud van het serverplatform.
SVP_B.02Principes voor inrichten beveiligde serversPrincipes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.Het zorgen dat servers betrouwbaar zijn gedurende alle inrichtingsverrichtingen van servers.
SVP_B.03Serverplatform-architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.Een landschap bieden voor een serverplatform dat in samenhang beveiligd is en inzicht geeft in de inrichting van het serverplatform.
SVP_C.01Evaluatierichtlijn servers en serverplatformsRichtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.Het adequaat controle-activiteiten en rapportages opstellen gericht op de implementatie en beveiliging van servers en besturingssystemen.
SVP_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen.Het vaststellen of de technische serveromgevingen voor servers en besturingssystemen afdoende zijn beveiligd.
SVP_C.03Logbestanden beheerdersActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.Achteraf kunnen fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten vroegtijdig worden gesignaleerd.
SVP_C.04LoggingLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het verzamelen van bewijs om achteraf te kunnen beoordelen of er ongeoorloofde acties hebben plaatsgevonden op servers en besturingssystemen.
SVP_C.05MonitorenDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.Het vaststellen van onjuist gebruik en verdachte activiteiten op servers en besturingssystemen waarmee het management tijdig kan bijsturen.
SVP_C.06Beheersorganisatie servers en serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.Het invullen, coördineren en borgen van de beheersing van servers en serverplatforms.
SVP_U.01BedieningsprocedureBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.Het waarborgen van een correcte en veilige bediening van serverplatforms.
SVP_U.02Standaarden voor serverconfiguratieHet serverplatform is geconfigureerd volgens gedocumenteerde standaarden.Dat een serverplatform correct werkt met de vereiste beveiligingsinstellingen, dat de configuratie niet wordt gewijzigd door ongeautoriseerden en het voorkomen van onjuiste wijzigingen.
SVP_U.03MalwareprotectieTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.Het zorgen dat informatie op servers wordt beschermd tegen malware.
SVP_U.04Technische kwetsbaarhedenbeheerInformatie over technische serverkwetsbaarheden1 behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.Het voorkomen van misbruik van technische kwetsbaarheden en bij blootstelling ervan tijdig passende maatregelen treffen.
SVP_U.05PatchmanagementPatchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.Het zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
SVP_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.Voorkomen van verlies, schade, diefstal of in gevaar brengen van informatie en andere bijbehorende assets en onderbreking van de activiteiten van de organisatie.
SVP_U.07Server-onderhoudServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.Het waarborgen van continue beschikbare en integere servers.
SVP_U.08Veilig serverapparatuur verwijderen of hergebruikenAlle onderdelen van servers die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SVP_U.09Hardenen serversVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.Het verbeteren van de beveiliging van servers.
SVP_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.Het veilig laten functioneren van serverplatforms.
SVP_U.11Virtualisatie serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.Het in voldoende mate beveiligen van gevoelige informatie op een virtueel serverplatform.
SVP_U.12Beperking software-installatieVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.Het voorkomen dat er software wordt geïnstalleerd die schade kan veroorzaken, zoals het weglekken van informatie, verlies van integriteit, andere informatiebeveiligingsincidenten of het schenden van intellectuele-eigendomsrechten.
SVP_U.13KloksynchronisatieDe klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gedocumenteerd en gesynchroniseerd met één referentietijdbron.Om de correlatie en analyse van beveiligingsgerelateerde gebeurtenissen en andere geregistreerde gegevens mogelijk te maken en om onderzoeken naar informatiebeveiligingsincidenten te ondersteunen.
SVP_U.14OntwerpdocumentHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.Het hebben van een middel waarmee de vereiste acties genomen kunnen worden in de volgende fase, de inrichting van de server en het serverplatform. Inzichtelijk is waar wel en niet rekening mee is gehouden in het ontwerp.
SWP_B.01Verwervingsbeleid softwarepakkettenVoor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.Het beheersen van het verwerven van softwarepakketten.
SWP_B.02Informatiebeveiligingsbeleid voor leveranciersrelatiesMet de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.
SWP_B.03Exit-strategie softwarepakkettenIn de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.
SWP_B.04Bedrijfs- en beveiligingsfunctiesDe noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.Het voldoen aan de businesseisen van de organisatie en de beoogde, veilige ondersteuning van het bedrijfsproces.
SWP_B.05Cryptografie softwarepakettenTer bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheid van informatie te kunnen garanderen.
SWP_B.06BeveiligingsarchitectuurDe klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.Het effectief sturen en beheersen van veranderingen in het applicatielandschap.
SWP_C.01Evaluatie leveranciersdienstverleningDe klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te monitoren, te beoordelen en te auditen.Het bepalen/vaststellen in hoeverre de leveranciersovereenkomst wordt nageleefd.
SWP_C.02VersiebeheerWijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.Dat gemachtigden op ieder moment kunnen beschikken over de juiste versie van een softwarepakket.
SWP_C.03Patchmanagement softwarepakkettenPatchmanagement behoort procesmatig en procedureel uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden van de gebruikte code, zodat zo snel mogelijk de laatste (beveiligings-)patches kunnen worden geïnstalleerd.Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
SWP_U.01Levenscyclusmanagement softwarepakkettenDe leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.Het zorgen dat informatiebeveiliging deel uitmaakt van de levenscyclus van software.
SWP_U.02Beperkingen op wijziging softwarepakkettenWijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd.Wijzigingen aan softwarepakketten gecontroleerd laten verlopen.
SWP_U.03BedrijfscontinuïteitDe leverancier behoort processen, procedures en beheersmaatregelen te documenteren, te implementeren en te handhaven.Het waarborgen van het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie.
SWP_U.04Input-/output-validatieHet softwarepakket behoort mechanismen te bevatten voor normalisatie en validatie van invoer en voor schoning van de uitvoer.Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.
SWP_U.05SessiebeheerSessies behoren authentiek te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een time-out of perioden van inactiviteit.Het voorkomen dat onbevoegden zich via kwetsbaarheden toegang verschaffen tijdens langdurig openstaande sessies.
SWP_U.06GegevensopslagTe beschermen gegevens worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden versleuteld. Opslag vindt alleen plaats als noodzakelijk.Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.
SWP_U.07CommunicatieHet softwarepakket past versleuteling toe op de communicatie van gegevens die passend bij het classificatieniveau is van de gegevens en controleert hierop.Het beschermen van getransporteerde gegevens passend bij het classificatieniveau.
SWP_U.08Authenticatie softwarepakkettenSoftwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatie en authenticatie.Het vaststellen van de identiteit van een gebruiker van een softwarepakket.
SWP_U.09ToegangsautorisatieHet softwarepakket behoort een autorisatiemechanisme te bieden.Toegang tot bedrijfs- en beheerfuncties toe te kennen en te beperken volgens het vereiste gebruikersprofiel.
SWP_U.10AutorisatiebeheerDe rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.Bewerkstelligen dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot het softwarepakket.
SWP_U.11ApplicatieloggingHet softwarepakket biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.Het bieden van signaleringsfuncties voor registratie en detectie.
SWP_U.12Application Programming Interface (API)Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens.Het bieden van veilige mechanismen voor onder andere import en export van gegevens.
SWP_U.13GegevensimportSoftwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan.Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.
TBV_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.Het beheersen van de toegang tot informatie.
TBV_B.02Eigenaarschap toegangsbeveiligingssysteemHet eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen.
TBV_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht.
TBV_B.04Cryptografie toegangsbeveiligingTer bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheid, authenticiteit en/of integriteit van authenticatie-informatie te beschermen.
TBV_B.05Beveiligingsorganisatie ToegangsbeveiligingDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.Het invullen, coördineren en borgen van het informatiebeveiligingsbeleid binnen de organisatie.
TBV_B.06ToegangsbeveiligingsarchitectuurDe organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.Het verkrijgen van inzicht in de samenhang van en de relatie tussen de technische componenten die een rol spelen bij de inrichting en beheer van het toegangsvoorzieningsdomein.
TBV_C.01BeoordelingsproceduresOm het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld.Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.
TBV_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbinding daar aanleiding toe geven.
TBV_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
  • TBV_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.
    TBV_U.01RegistratieprocedureEen formele registratie- en afmeldprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.
    TBV_U.02ToegangsverleningsprocedureEen formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle type gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.
    TBV_U.03InlogprocedureAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een beveiligde inlogprocedure.Onbevoegde toegang tot systemen en toepassingen voorkomen.
    TBV_U.04AutorisatieprocesEen formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.
    TBV_U.05WachtwoordbeheerSystemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.Het bewerkstelligen dat alleen de beoogde geauthentiseerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.
    TBV_U.06Speciale toegangsrechtenbeheerHet toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.
    TBV_U.07FunctiescheidingConflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.Het bewerkstelligen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd;
  • niemand een gehele procescyclus kan beïnvloeden.
  • TBV_U.08Geheime authenticatie-informatieHet toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.Het bewerkstelligen dat de geclaimde identiteit van de gebruiker kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruiker toegang krijgt tot gegevens in het systeem.
    TBV_U.09AutorisatieToegang (autorisatie) tot informatie en systeemfuncties van toepassingen behoren te worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
    TBV_U.10AutorisatievoorzieningenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten, beschikbaar zijn.Het inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten.
    TBV_U.11Fysieke toegangsbeveiligingBeveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.Het bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.