Beveiligingsprincipes

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle beveiligingsprincipes uit de NORANederlandse Overheid Referentie Architectuur. Beveiligingsprincipes komen oorspronkelijk voort uit de normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken onderdeel uit van de Information Security Object Repository (ISOR). Het is de bedoeling dat de beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide principes en het thema Beveiliging.

Beveiligingsprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Beveiliging.

Alle beveiligingsprincipes

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van beveiligingsprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.

IDNaamCriteriumDoelstelling
APO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
APO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.De reden waarom de norm gehanteerd wordt.
APO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.De reden waarom de norm gehanteerd wordt.
APO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
APO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.De reden waarom de norm gehanteerd wordt.
APO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.De reden waarom de norm gehanteerd wordt.
APO_B.07Kwaliteitsmanagement systeem (KMS)De doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.De reden waarom de norm gehanteerd wordt.
APO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.De reden waarom de norm gehanteerd wordt.
APO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.De reden waarom de norm gehanteerd wordt.
APO_C.01Richtlijnen evaluatie ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.De reden waarom de norm gehanteerd wordt.
APO_C.02Versie ManagementDe projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.De reden waarom de norm gehanteerd wordt.
APO_C.03Patchmanagement van externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
APO_C.04(Software) configuratie managementDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.De reden waarom de norm gehanteerd wordt.
APO_C.05Compliance managementDe projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.De reden waarom de norm gehanteerd wordt.
APO_C.06Quality assuranceDe projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.De reden waarom de norm gehanteerd wordt.
APO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatformBij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.De reden waarom de norm gehanteerd wordt.
APO_C.08Beheersing van software ontwikkeling(sprojecten)De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.De reden waarom de norm gehanteerd wordt.
APO_U.01Procedures voor wijzigingsbeheer m.b.t. applicatiesWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.
APO_U.02Beperkingen voor de installatie van software(richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.De reden waarom de norm gehanteerd wordt.
APO_U.03Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.De reden waarom de norm gehanteerd wordt.
APO_U.04Analyse en specificatie van informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.De reden waarom de norm gehanteerd wordt.
APO_U.05Analyse en specificatie van informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
APO_U.06Applicatie ontwerpHet applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.De reden waarom de norm gehanteerd wordt.
APO_U.07Applicatie functionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
APO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.De reden waarom de norm gehanteerd wordt.
APO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
APO_U.10Systeem acceptatietestsVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
APO_U.11Beschermen van testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.De reden waarom de norm gehanteerd wordt.
APO_U.12Beveiligde ontwikkel- (en test) omgevingOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.De reden waarom de norm gehanteerd wordt.
APO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
APO_U.15Applicatie architectuurDe functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
APO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.De reden waarom de norm gehanteerd wordt.
CLD_B.01Wet- en regelgeving CloudAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
CLD_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
CLD_B.03Exit-strategie cloudIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen aangaande exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit (https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit).
CLD_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
CLD_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
CLD_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
CLD_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
CLD_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
CLD_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
CLD_B.10Beveiligingsorganisatie ClouddienstenDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.De reden waarom de norm gehanteerd wordt.
CLD_B.11Clouddiensten-architectuur (Beleid)De CSP heeft een actuele architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT functionaliteiten./
CLD_C.01Service-managementbeleid en evaluatie richtlijnenDe CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.
CLD_C.02Risico-controlHet risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
CLD_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
CLD_C.04Technische kwetsbaarhedenbeheerInformatieBetekenisvolle gegevens. over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
CLD_C.05Security-monitoringDe performance van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
CLD_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersingsorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen zijn vastgesteld.
CLD_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.
CLD_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit risico-analyse en risico-evaluatie en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP.
CLD_U.03BedrijfscontinuïteitsservicesInformatieBetekenisvolle gegevens. verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.
CLD_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.
CLD_U.05Data-protectieData (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.
CLD_U.06Dataretentie en vernietiging gegevensGearchiveerde data behoort gedurende de overeengekomen bewaartermijn technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden vernietigd.
CLD_U.07Scheiding van dataCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de Cloud Service Provider (CSP) in beheer heeft.
CLD_U.08Scheiding van dienstverleningDe cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.
CLD_U.09Malware-protectie cloudTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.
CLD_U.10Toegang tot IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.
CLD_U.11Crypto-servicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen, tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.
CLD_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.
CLD_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de service-componenten van de cloudservice die aan de CSC wordt geleverd.
CLD_U.14Interoperabiliteit en portabiliteitCloudservices zijn bruikbaar (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving) op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.
CLD_U.15Logging en monitoringLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
CLD_U.16Clouddiensten-architectuur (Uitvoering)De clouddiensten-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert de samenhang en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantieInzicht in de werkwijze die de overheid hanteert. en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.
CLD_U.17Multi-tenant architectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.
CVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.Het beheersen van de beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van informatie tijdens transport in netwerken.
CVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.Vastgelegde en nagekomen Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden (SMART)-afspraken over het gewenste beveiligingsniveau voor informatietransport over netwerken.
CVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het beheersen van cryptografie binnen netwerken en communicatieservices.
CVZ_B.04Organisatiestructuur van netwerkbeheerIn het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.Het invullen, coördineren en borgen van het netwerkbeheer.
CVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.Het vaststellen of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid nog steeds effectief zijn.
CVZ_C.02Compliance toets netwerkbeveiligingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).Vast te stellen of de inrichting van de netwerk(diensten) voldoet aan het beveiligingsbeleid.
CVZ_C.03Evalueren robuustheid netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.Het vaststellen of de beveiliging van het complete netwerk nog in balans is met de dreigingen.
CVZ_C.04Evalueren netwerkgebeurtenissen (monitoring)Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..Detectie, vastlegging en onderzoek mogelijk te maken van netwerkgebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CVZ_C.05Beheerorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.Het invullen, coördineren en borgen van de beheersing van de netwerkbeveiliging.
CVZ_U.01Richtlijnen netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer .Het bewerkstelligen van de benodigde coördinatie van activiteiten binnen netwerkbeveiliging.
CVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.Onbevoegde toegang tot (communicatie)systemen en toepassingen voorkomen.
CVZ_U.03Netwerk beveiligingsbeheerNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een bruikbare staat.
CVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.Het beschermen van vertrouwelijke informatie waaraan dienstverleners en partners worden blootgesteld.
CVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.Bij uitval van netwerkdiensten kan de continuïteit van de bedrijfsvoering optimaal gecontinueerd worden; een contante beschikbaarheid en continuïteit garanderen
CVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).Veilig communiceren vanuit het ene naar het andere netwerk.
CVZ_U.07Elektronische berichtenInformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten behoort passend te zijn beschermd.Elektronisch berichtenverkeer blijft beschikbaar, integer en vertrouwelijk.
CVZ_U.08Toepassingen via openbare netwerkenInformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.Het effectief beveiligen van het netwerkverkeer via openbare netwerken.
CVZ_U.09Gateway/FirewallDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.Ongeautoriseerd inkomend en uitgaand dataverkeer te detecteren en blokkeren.
CVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.Het zorgen voor een veilige verbinding, waarbij getransporteerde informatie over netwerken vertrouwelijk blijft.
CVZ_U.11Cryptografische ServicesTer bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.Het behouden van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van de getransporteerde informatie.
CVZ_U.12Draadloze toegangDraadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.Het zorgen dat onbevoegden geen gebruik kunnen maken van devices waartoe ze niet gemachtigd zijn en dat het draadloze verkeer beschikbaar, integer en vertrouwelijk blijft.
CVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.Bij beheer, storingen en calamiteiten weet de organisatie wat er aan gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk aanwezig is. De uitval wordt geminimaliseerd.
CVZ_U.14NetwerkauthenticatieAuthenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.Dat alleen vooraf toegestane netwerkdevices op het netwerk worden toegelaten.
CVZ_U.15NetwerkbeheeractiviteitenNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.Het bereiken van de netwerkbeveiligingsdoelen en de netwerkbeveiliging behouden in de gewenste/een buikbare staat.
CVZ_U.16Vastleggen en monitoring van netwerkgebeurtenissen (events)Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s).Het achteraf kunnen vaststellen of de beveiliging van het netwerk niet is verstoord en bij verstoring kan de situatie hersteld worden.
CVZ_U.17NetwerkbeveiligingsarchitectuurDe beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.Het bieden van een netwerkbeveiligingslandschap dat in samenhang is beveiligd en inzicht geeft in de inrichting daarvan.
HVI_B.01Huisvesting informatievoorzieningenbeleidTen behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.
HVI_B.02Wet- en regelgeving Huisvesting IVAlle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.
HVI_B.03EigenaarschapHuisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
HVI_B.04CertificeringHuisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
HVI_B.05ContractmanagementHuisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau.
HVI_B.06Service Level ManagementHet management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).
HVI_B.07In- en externe bedreigingenTegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.
HVI_B.08Training en bewustwordingAlle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
  • zich bewust zijn van bedreigingen en gevaren van huisvesting IV;
  • continu op de hoogte zijn van het vigerende huisvesting IV-beleid;
  • continu bewust blijven van relevante maatregelen.
HVI_B.09Huisvesting IV-organisatiestructuurDe huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.Het invullen, coördineren en borgen van huisvesting IV.
HVI_C.01Controle-richtlijnen huisvesting IVBedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV.
HVI_C.02OnderhoudsplanVoor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen.Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.
HVI_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald.
HVI_C.04Beheersorganisatie huisvesting IVDe stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening.
HVI_U.01Richtlijn gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1.Het bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten.
HVI_U.02Bedrijfsmiddelen-inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.
HVI_U.03Fysieke zoneringFysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.
HVI_U.04BeveiligingsfaciliteitenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1.Het voorkomen van onbevoegde toegang tot ruimten.
HVI_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.
HVI_U.06Apparatuur-positioneringApparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
HVI_U.07Apparatuur-onderhoudApparatuur behoort op een correcte wijze te worden onderhouden.Het waarborging dat apparatuur continue beschikbaar en integer is.
HVI_U.08Apparatuur-verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Het waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.
HVI_U.09BedrijfsmiddelenverwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.Het bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van bedrijfsmiddelen.
HVI_U.10Laad- en loslocatieToegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.Het voorkomen van onbevoegde toegang tot huisvesting IV, zoals terreinen en gebouwen.
HVI_U.11BekabelingVoedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.
HVI_U.12Huisvesting IV-architectuurVoor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.
SERV_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
SERV_B.02Principes voor inrichten van beveiligde serversDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03Serverplatform architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
SERV_C.01Evaluatie richtlijnen servers en besturingssystemenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.De reden waarom de norm gehanteerd wordt.
SERV_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.De reden waarom de norm gehanteerd wordt.
SERV_C.03Beheerderactiviteiten vastgelegd in logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04Registratie gebeurtenissenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.De reden waarom de norm gehanteerd wordt.
SERV_C.05Monitoren van serverplatformsDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06Beheerorganisatie serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.
SERV_U.01BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
SERV_U.02Standaarden voor configuratie van serversHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.
SERV_U.03Malwareprotectie serverplatformTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SERV_U.04Beheer van serverkwetsbaarhedenInformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.De reden waarom de norm gehanteerd wordt.
SERV_U.05Patchmanagement serverplatformPatchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SERV_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.De reden waarom de norm gehanteerd wordt.
SERV_U.07Onderhoud van serversServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.De reden waarom de norm gehanteerd wordt.
SERV_U.08Veilig verwijderen of hergebruiken van serverapparatuurAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SERV_U.09Hardenen van serversVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SERV_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.De reden waarom de norm gehanteerd wordt.
SERV_U.11Beveiliging Virtueel serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SERV_U.12Beperking van software-installatieVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SERV_U.13KloksynchronisatieDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.De reden waarom de norm gehanteerd wordt.
SERV_U.14OntwerpdocumentatieHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.
SWP_B.01Verwervingsbeleid softwarepakkettenVoor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast.Het beheersen van het verwerven van softwarepakketten.
SWP_B.02Informatiebeveiligingsbeleid voor leveranciersrelatiesMet de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
SWP_B.03Exit-strategie softwarepakkettenIn de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.
SWP_B.04Bedrijfs- en beveiligingsfunctiesDe noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten.Het voldoen aan de businesseisen van de organisatie en de beoogde, veilige ondersteuning van het bedrijfsproces.
SWP_B.05Cryptografie softwarepakettenTer bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van informatie te kunnen garanderen.
SWP_B.06BeveiligingsarchitectuurDe klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld.Het effectief sturen en beheersen van veranderingen in het applicatielandschap.
SWP_C.01Evaluatie leveranciersdienstverleningDe klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te monitoren, te beoordelen en te auditen.Het bepalen/vaststellen in hoeverre de leveranciersovereenkomst wordt nageleefd.
SWP_C.02VersiebeheerWijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.Dat gemachtigden op ieder moment kunnen beschikken over de juiste versie van een softwarepakket.
SWP_C.03Patchmanagement softwarepakkettenPatchmanagement behoort procesmatig en procedureel uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden van de gebruikte code, zodat zo snel mogelijk de laatste (beveiligings-)patches kunnen worden geïnstalleerd.Zekerstellen dat kwetsbaarheden tijdig en effectief worden aangepakt en zo een stabiele omgeving wordt gecreëerd.
SWP_U.01Levenscyclusmanagement softwarepakkettenDe leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap.Het zorgen dat informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. deel uitmaakt van de levenscyclus van software.
SWP_U.02Beperkingen op wijziging softwarepakkettenWijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd.Wijzigingen aan softwarepakketten gecontroleerd laten verlopen.
SWP_U.03BedrijfscontinuïteitDe leverancier behoort processen, procedures en beheersmaatregelen te documenteren, te implementeren en te handhaven.Het waarborgen van het vereiste niveau van continuïteit voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. tijdens een ongunstige situatie.
SWP_U.04Input-/output-validatieHet softwarepakket behoort mechanismen te bevatten voor normalisatie en validatie van invoer en voor schoning van de uitvoer.Het beschermen van bedrijfsprocessen door zekerheid te verschaffen over de integriteit van de verwerkte data.
SWP_U.05SessiebeheerSessies behoren authentiek te zijn voor elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem en behoren ongeldig gemaakt te worden na een time-out of perioden van inactiviteit.Het voorkomen dat onbevoegden zich via kwetsbaarheden toegang verschaffen tijdens langdurig openstaande sessies.
SWP_U.06GegevensopslagTe beschermen gegevens worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden versleuteld. Opslag vindt alleen plaats als noodzakelijk.Toegang tot opgeslagen gegevens door onbevoegden wordt verhinderd.
SWP_U.07CommunicatieHet softwarepakket past versleuteling toe op de communicatie van gegevens die passend bij het classificatieniveau is van de gegevens en controleert hierop.Het beschermen van getransporteerde gegevens passend bij het classificatieniveau.
SWP_U.08Authenticatie softwarepakkettenSoftwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie.Het vaststellen van de identiteit van een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem van een softwarepakket.
SWP_U.09ToegangsautorisatieHet softwarepakket behoort een autorisatiemechanisme te bieden.Toegang tot bedrijfs- en beheerfuncties toe te kennen en te beperken volgens het vereiste gebruikersprofiel.
SWP_U.10AutorisatiebeheerDe rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.Bewerkstelligen dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot het softwarepakket.
SWP_U.11ApplicatieloggingHet softwarepakket biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.Het bieden van signaleringsfuncties voor registratie en detectie.
SWP_U.12Application Programming Interface (API)Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens.Het bieden van veilige mechanismen voor onder andere import en export van gegevens.
SWP_U.13GegevensimportSoftwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan.Bewerkstelligen dat niet-vertrouwde omgevingen bestandsgegevens uit niet vertrouwde omgevingen veilig geïmporteerd en veilig opgeslagen worden.
TBV_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.Het beheersen van de toegang tot informatie.
TBV_B.02Eigenaarschap toegangsbeveiligingssysteemHet eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen.
TBV_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht.
TBV_B.04Cryptografie toegangsbeveiligingTer bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatie-informatie te beschermen.
TBV_B.05Beveiligingsorganisatie ToegangsbeveiligingDe organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.Het invullen, coördineren en borgen van het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. binnen de organisatie.
TBV_B.06ToegangsbeveiligingsarchitectuurDe organisatie behoort op basis van de organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd.Het verkrijgen van inzicht in de samenhang van en de relatie tussen de technische componenten die een rol spelen bij de inrichting en beheer van het toegangsvoorzieningsdomein.
TBV_C.01Beoordelingsrichtlijnen en proceduresOm het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld.Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.
TBV_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
TBV_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
  • TBV_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen dient een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.
    TBV_U.01RegistratieprocedureEen formele registratie- en afmeldprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.
    TBV_U.02ToegangsverleningsprocedureEen formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle type gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Het bewerkstelligen van een formele bevestiging voor gebruikersbevoegdheden.
    TBV_U.03InlogprocedureAls het beleid voor toegangsbeveiliging dit vereist, moet de toegang tot systemen en toepassingen worden beheerst met behulp van een beveiligde inlogprocedure.Onbevoegde toegang tot systemen en toepassingen voorkomen.
    TBV_U.04AutorisatieprocesEen formeel autorisatieproces dient geïmplementeerd te zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.
    TBV_U.05WachtwoordbeheerSystemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.Het bewerkstelligen dat alleen de beoogde geauthentiseerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.
    TBV_U.06Speciale toegangsrechtenbeheerHet toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.Het voorkomen van het misbruik en oneigenlijk gebruik van bedrijfsobjecten.
    TBV_U.07FunctiescheidingConflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.Het bewerkstelligen dat:
  • gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen van de organisatie wordt verminderd;
  • niemand een gehele procescyclus kan beïnvloeden.
  • TBV_U.08Geheime authenticatie-informatieHet toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.Het bewerkstelligen dat de geclaimde identiteit van de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem kan worden bewezen en dat daardoor alleen de bevoegde (of beoogde) gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem toegang krijgt tot gegevens in het systeem.
    TBV_U.09AutorisatieToegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties van toepassingen behoren te worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
    TBV_U.10AutorisatievoorzieningenTer ondersteuning van autorisatiebeheer moeten binnen de daartoe in aanmerking komende applicaties technische autorisatievoorzieningen, zoals: een personeelsregistratiesysteem, een autorisatiebeheersysteem en autorisatiefaciliteiten, beschikbaar zijn.Het inzetten van autorisatievoorzieningen, zoals effectieve mechanismen voor het administreren van gebruikers en autorisaties voor de effectiviteit van autorisatiebeheer en het verminderen van de kans op fouten.
    TBV_U.11Fysieke toegangsbeveiligingBeveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.Het bewerkstelligen dat alleen bevoegd personeel wordt toegelaten en dat geen schade aan gebouwen of verstoring van informatie plaatsvindt.