Beveiligingsprincipes

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina vind u alle Beveiligingsprincipes uit de NORANederlandse Overheid Referentie Architectuur. Privacyprincipes komen oorspronkelijk voort uit de normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken onderdeel uit van de Information Security Object Repository (ISOR). Het is de bedoeling dat de Beveiligingsprincipes en de hierbij behorende normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid Referentie Architectuur Basisprincipes en Afgeleide principes en het thema Beveiliging.

Privacyprincipes zijn themaprincipes die richtinggevende uitspraken doen over het thema of aspect Privacy.

Alle privacyprincipes

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Privacyprincipes worden genoemd en gedefinieerd op de pagina Beveiligingsprincipe. Er is ook een tabel met alle eigenschappen van alle beveiligingsprincipes.

IDNaamCriteriumDoelstelling
AppO_B.01Beleid voor (beveiligd) ontwikkelenVoor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
AppO_B.02Systeem ontwikkelmethodeOntwikkel activiteiten behoren te zijn gebaseerd op gedocumenteerde systeem ontwikkelmethodes en waarin o.a. standaarden/procedures voor de applicatieontwikkeling, het toepassen van beleid en wet en regelgeving en een projectmatige aanpak zijn geadresseerd.De reden waarom de norm gehanteerd wordt.
AppO_B.03Classificatie van InformatieInformatieBetekenisvolle gegevens. behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.De reden waarom de norm gehanteerd wordt.
AppO_B.04Engineeringprincipes beveiligde systemenPrincipes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
AppO_B.05Business Impact AnalyseDe BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid (BIVC) hebben op de organisatie.De reden waarom de norm gehanteerd wordt.
AppO_B.06Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.De reden waarom de norm gehanteerd wordt.
AppO_B.07Kwaliteitsmanagement systeemDe doelorganisatie behoort conform uitgestippeld ontwikkel en onderhoudsbeleid een kwaliteitsmanagement systeem (KMS) in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst.De reden waarom de norm gehanteerd wordt.
AppO_B.08Toegangsbeveiliging op programmacodeToegang tot de programmacode en broncode bibliotheken behoort te worden beperkt.De reden waarom de norm gehanteerd wordt.
AppO_B.09ProjectorganisatieBinnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap.De reden waarom de norm gehanteerd wordt.
AppO_C.01Richtlijnen evaluatie ontwikkelactiviteitenDe projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.De reden waarom de norm gehanteerd wordt.
AppO_C.02Versie ManagementDe projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.De reden waarom de norm gehanteerd wordt.
AppO_C.03Patchmanagement van externe programmacodePatchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
AppO_C.04(Software) configuratie managementDe inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.De reden waarom de norm gehanteerd wordt.
AppO_C.05Compliance managementDe projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.De reden waarom de norm gehanteerd wordt.
AppO_C.06Quality assuranceDe projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.De reden waarom de norm gehanteerd wordt.
AppO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatformBij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.De reden waarom de norm gehanteerd wordt.
AppO_C.08Beheersing van software ontwikkeling(sprojecten)De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.De reden waarom de norm gehanteerd wordt.
AppO_U.01Procedures voor wijzigingsbeheer m.b.t. applicatiesWijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.
AppO_U.02Beperkingen voor de installatie van software(richtlijnen)Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.De reden waarom de norm gehanteerd wordt.
AppO_U.03Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.De reden waarom de norm gehanteerd wordt.
AppO_U.04Analyse en specificatie van informatiesystemenDe functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd.De reden waarom de norm gehanteerd wordt.
AppO_U.05Analyse en specificatie van informatiebeveiligingseisenDe beveiligingseisen die verband houden met informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreiding van bestaande informatiesystemen.
AppO_U.06Applicatie ontwerpHet applicatie ontwerp behoort gebaseerd te zijn op informatie, welke is verkregen uit verschillende invalshoeken, zoals: Business vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging.De reden waarom de norm gehanteerd wordt.
AppO_U.07Applicatie functionaliteitenInformatiesystemen behoren zo te worden ontworpen, dat de invoer-, verwerking- en outputfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. om het businessproces optimaal te kunnen ondersteunen.
AppO_U.08ApplicatiebouwDe bouw van applicaties inclusief programmacode behoort te worden uitgevoerd op basis van (industrie) good practice en door ontwikkelaars die beschikken over de juiste skills/tools en de applicaties behoren te worden gereviewd.De reden waarom de norm gehanteerd wordt.
AppO_U.09Testen van systeembeveiligingTijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest.
AppO_U.10Systeem acceptatietestsVoor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.
AppO_U.11Beschermen van testgegevensTestgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.De reden waarom de norm gehanteerd wordt.
AppO_U.12Beveiligde ontwikkel- (en test) omgevingOrganisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.De reden waarom de norm gehanteerd wordt.
AppO_U.13ApplicatiekoppelingenDe koppelingen tussen applicaties behoren te worden uitgevoerd op basis geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. te kunnen waarborgen.
AppO_U.15Applicatie architectuurDe functionele- en beveiligingseisen behoren in een applicatie-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., conform architectuurvoorschriften, in samenhang te zijn vastgelegd.
AppO_U.16Tooling ontwikkelmethodeDe ontwikkelmethode behoort te worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus.De reden waarom de norm gehanteerd wordt.
Cloud_B.01Wet- en regelgevingAlle relevante wettelijke, statutaire, regelgevende eisen, contractuele eisen en de aanpak van de CSP om aan de eisen te voldoen, behoren voor elke clouddienst en voor de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Cloud_B.02CloudbeveiligingsstrategieDe CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt.
Cloud_B.03Exit-strategieIn de clouddiensten-overeenkomst tussen CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen (weolcan weolcan: https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit) aangaande exit zijn opgenomen, als een aantal condities (weolcan: https://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je-het-uit) die aanleiding kunnen geven tot een exit.
Cloud_B.04ClouddienstenbeleidDe CSP behoort haar informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. uit te breiden met een cloudbeveiligingsbeleid om de voorzieningen en het gebruik van cloudservices te adresseren.
Cloud_B.05TransparantieDe CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd.
Cloud_B.06RisicomanagementDe CSP behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van de clouddiensten te hebben opgezet en te onderhouden.
Cloud_B.07IT-functionaliteitenIT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van CSP naar CSC.
Cloud_B.08BedrijfscontinuïteitsmanagementDe CSP behoort haar proces voor bedrijfscontinuïteitsmanagement (BCM) adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra.
Cloud_B.09Data en privacyDe CSP behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.
Cloud_B.10BeveiligingsorganisatieDe CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld.
Cloud_C.01Service-managementbeleid en evaluatie richtlijnenDe CSP heeft voor de clouddiensten een service-managementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages.
Cloud_C.02Risico-controlHet risicomanagement- en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd.
Cloud_C.03Compliance en assuranceDe CSP behoort regelmatig de naleving van de cloudbeveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en ervoor te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities.
Cloud_C.04Technische kwetsbaarhedenbeheerInformatieBetekenisvolle gegevens. over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.
Cloud_C.05Security-monitoringDe performance van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan de verschillende stakeholders.
Cloud_C.06Beheerorganisatie clouddienstenDe CSP heeft een beheersingsorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen zijn vastgesteld.
Cloud_U.01Standaarden voor clouddienstenDe CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC.
Cloud_U.02Risico-assessmentDe CSP behoort een risico-assessment uit te voeren, bestaande uit risico-analyse en risico-evaluatie en op basis van de criteria en de doelstelling met betrekking tot clouddiensten van de CSP.
Cloud_U.03BedrijfscontinuïteitsservicesInformatieBetekenisvolle gegevens. verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen.
Cloud_U.04Herstelfunctie voor data en clouddienstenDe herstelfunctie van data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest.
Cloud_U.05Data-protectieData (op transport, in verwerking en in rust) met classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving.
Cloud_U.06Dataretentie en vernietiging gegevensGearchiveerde data behoort gedurende de overeengekomen bewaartermijn technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data eigenaar te kunnen worden vernietigd.
Cloud_U.07Scheiding van dataCSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft.
Cloud_U.08Scheiding van dienstverleningDe cloud-infrastructuur is zodanig ingericht, dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden.
Cloud_U.09Malware-protectieTer bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers.
Cloud_U.10Toegang tot IT-diensten en dataGebruikers behoren alleen toegang te krijgen tot de IT-diensten en data waarvoor zij specifiek bevoegd zijn.
Cloud_U.11Crypto-servicesGevoelige data van CSC’s behoort conform het overeengekomen beleid inzake cryptografische maatregelen, tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld.
Cloud_U.12KoppelvlakkenDe onderlinge netwerkconnecties (koppelvlakken) in de keten van CSC naar CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken.
Cloud_U.13Service-orkestratieService-orkestratie biedt coördinatie, aggregatie en samenstelling van de service-componenten van de cloudservice die aan de CSC wordt geleverd.
Cloud_U.14Interoperabiliteit en portabiliteitCloudservices zijn bruikbaar (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving) op verschillende IT-platforms en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s.
Cloud_U.15Logging en monitoringLogbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Cloud_U.16Clouddiensten-architectuurDe clouddiensten-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert de samenhang en beveiliging van de services en de inter-connectie tussen CSC en CSP en biedt transparantieInzicht in de werkwijze die de overheid hanteert. en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data.
Cloud_U.17Multi-tenant architectuurBij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines.
CommVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CommVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CommVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort voor het gebruik van cryptografische beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en geïmplementeerd.
CommVZ_B.04Organisatiestructuur van netwerkbeheerIn beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel mogelijk van de hardware en software componenten daarvan.
CommVZ_C.01Naleving richtlijnen netwerkbeheer en evaluatiesRichtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.
CommVZ_C.02Netwerk security compliancy checkingDe naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks).
CommVZ_C.03Evalueren netwerkbeveiligingDe robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
CommVZ_C.04Evalueren netwerk monitoringToereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CommVZ_C.05Beheerorganisatie netwerkbeveiligingAlle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.
CommVZ_U.01Richtlijnen netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.
CommVZ_U.03Netwerk beveiligingsbeheerNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CommVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CommVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CommVZ_U.07Elektronische berichtenInformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
CommVZ_U.08Toepassingen via openbare netwerkenInformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CommVZ_U.09Gateway/FirewallDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CommVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CommVZ_U.11Cryptografische ServicesTer bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CommVZ_U.12Wireless AccessDraadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CommVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CommVZ_U.14Netwerkauthenticatie'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.
CommVZ_U.15Netwerk beheeractiviteitenNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
CommVZ_U.16Vastleggen en monitoring van netwerkgebeurtenissen (events)Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s).
CommVZ_U.17Netwerk beveiligingsarchitectuurBeveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.
Huisv_B.01Huisvesting informatievoorziening BeleidDe directie behoort ten behoeve van Huisvesting-IV beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.Bewerkstelligen dat de Huisvesting-IV de diensten kunnen leveren waarmee de organisatie haar doelstellingen kan realiseren.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.
Huisv_B.03EigenaarschapHuisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.Bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
Huisv_B.04CertificeringDe Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.Bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.
Huisv_B.06Service LevelmanagementHet management van Huisvesting-IV behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreement of SLA).Bewerkstelligen dat de Huisvesting-IV services conform afspraken geleverd worden (leveren wat je hebt beloofd).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming tegen natuurrampen, ongelukken en kwaadwillige aanvallen behoort te worden ontworpen en toegepast .Bewerkstelligen van de weerbaarheid van de Huisvesting-IV en het voorkomen van verstoringen in de Huisvesting-IV.
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
  • zich bewust zijn van bedreigingen en gevaren met betrekking tot Huisvesting-IV;
  • continu op de hoogte zijn van het vigerende Huisvesting-IV beleid;
  • continu bewust blijven van relevante maatregelen.
Huisv_B.09OrganisatiestructuurDe huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden (TVB) vast te stellen.Invullen, coördineren en borgen van de Huisvesting-IV voorzieningen.
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Effectieve beheersing van de bedrijfsmiddelen binnen Huisvesting IV.
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV behoort op basis van een risicoafweging en onderhoudsbepalingen een onderhoudsplan te zijn opgesteld.Zorgen dat vastgoed zoals gebouwen niet verwaarloosd worden en niet in verval raken.
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.
Huisv_C.04Huisvesting-IV beheersingsorganisatieDe stakeholder van de Huisvesting-IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van de Huisvesting-IV dienstverlening.
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’.
Bewerkstelligen van juiste coördinatie van activiteiten binnen de beveiligde ruimten.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001.
Bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.
Huisv_U.03Fysieke zoneringFysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast.Het voorkomen van onbevoegde toegang tot ruimten.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Bewerkstelligen dat het disfunctioneren van deze nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de Huisvesting-IV dienstverlening.
Huisv_U.06Apparatuur positioneringApparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'.
Apparatuur wordt zodanig geïnstalleerd (= geplaatst en beschermd) dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.Het waarborgen dat deze continu beschikbaar en integer is.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Waarborging dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.Bewerkstelligen van een gecontroleerde behandeling (invoering, gebruikt en afvoering) van bedrijfsmiddelen.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen.Het voorkomen van onbevoegde toegang tot Huisvesting-IV, zoals terreinen en gebouwen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging.Bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.Een Huisvesting-IV landschap bieden dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.
LTV_C.04Toegangbeveiliging beheers(ings)organisatieDe eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangbeveiligingssysteem.
SERV_B.01Beleid voor beveiligde inrichting en onderhoudVoor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast.De reden waarom de norm gehanteerd wordt.
SERV_B.02Principes voor inrichten van beveiligde serversDe principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers.
SERV_B.03Serverplatform architectuurDe functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd.
SERV_C.01Evaluatie richtlijnen servers en besturingssystemenEr behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.De reden waarom de norm gehanteerd wordt.
SERV_C.02Beoordeling technische serveromgevingTechnische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.De reden waarom de norm gehanteerd wordt.
SERV_C.03Beheerderactiviteiten vastgelegd in logbestandenActiviteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04Registratie gebeurtenissenLogbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.De reden waarom de norm gehanteerd wordt.
SERV_C.05Monitoren van serverplatformsDe organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06Beheerorganisatie serverplatformsBinnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.
SERV_U.01BedieningsproceduresBedieningsprocedures behoren te worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
SERV_U.02Standaarden voor configuratie van serversHet serverplatform is geconfigureerd in overeenstemming met gedocumenteerde standaarden.
SERV_U.03MalwareprotectieTer bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers.
SERV_U.04Beheer van serverkwetsbaarhedenInformatieBetekenisvolle gegevens. over technische serverkwetsbaarheden (Zie Handreiking:4.42 Penetratietesten) behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om risico’s die hiermee samenhangen aan te pakken.De reden waarom de norm gehanteerd wordt.
SERV_U.05PatchmanagementPatchmanagement is procesmatig en procedureel opgezet wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd.
SERV_U.06Beheer op afstandRichtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers.De reden waarom de norm gehanteerd wordt.
SERV_U.07Onderhoud van serversServers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen.De reden waarom de norm gehanteerd wordt.
SERV_U.08Veilig verwijderen of hergebruiken van serverapparatuurAlle onderdelen van servers met opslagmedia behoren te worden geverifieerd, om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
SERV_U.09Hardenen van serversVoor het beveiligen van servers worden overbodige functies en ongeoorloofde toegang uitgeschakeld.
SERV_U.10ServerconfiguratieServerplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates.De reden waarom de norm gehanteerd wordt.
SERV_U.11Beveiliging Virtueel serverplatformVirtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisor en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd.
SERV_U.12Beperking van software-installatieVoor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.
SERV_U.13KloksynchronisatieDe klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein zijn gedocumenteerd en gesynchroniseerd op één referentietijdbron.De reden waarom de norm gehanteerd wordt.
SERV_U.14OntwerpdocumentatieHet ontwerp van een serverplatform behoort te zijn gedocumenteerd.
TVZ_B.01ToegangsbeveiligingsbeleidEen toegangbeveiligingsbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.Het beheersen van de toegang tot informatie.
TVZ_B.02Eigenaarschap bedrijfsmiddelenHet eigenaarschap en de verantwoordelijkheden voor logische bedrijfsmiddelen en de verantwoordelijkheden voor fysieke bedrijfsmiddelen moeten zijn vastgelegd.Het bewerkstelligen dat er een verantwoordelijke is voor het toegangbeveiligingssysteem voor een betrouwbare inrichting dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.
TVZ_B.03BeveiligingsfunctieEen gespecialiseerde beveiligingsfunctie moet zijn vastgesteld die verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie.Het bewerkstelligen dat de toegangsbeveiliging effectief wordt ingericht.
TVZ_B.04CryptografieTer bescherming van authenticatie-informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd.Het bewerkstelligen dat cryptografie correct en doeltreffend wordt gebruik om de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. en/of integriteit van authenticatie-informatie te beschermen.
TVZ_B.06ToegangsbeveiligingsarchitectuurDe organisatie moet op basis van de organisatorische eisen en wensen de technische inrichting beschreven hebben en in een toegangbeveiligingsarchitectuur (TBA) vastgelegd.Het verkrijgen van inzicht in samenhang van en de relatie tussen de technische componenten die een rol spelen bij inrichting en beheer van het toegangsvoorzieningsdomein.
TVZ_C.01Beoordelingsrichtlijnen en proceduresOm het gebruik van toegangbeveiligingsvoorzieningen te (kunnen) controleren, moeten procedures zijn vastgesteld.Het bieden van ondersteuning bij het uitvoeren van formele controle-activiteiten.
TVZ_C.02Beoordeling toegangsrechtenEigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.Het vaststellen of:
  • de autorisaties juist zijn aangebracht in de applicaties;
  • de wijzigingen en verwijderingen juist zijn uitgevoerd;
  • de koppelingen tussen gebruikers en rollen tijdig zijn aangepast wanneer de inhoud van de functies of de eisen ten aanzien van functiescheiding, scheiding van handelingen en doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. daar aanleiding toe geven.
TVZ_C.03Gebeurtenissen registreren (logging en monitoring)Log-bestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.Het maakt mogelijk:
  • eventuele schendingen van functionele en beveiligingseisen te kunnen detecteren en achteraf de juistheid van de uitgevoerde acties te kunnen vaststellen;
  • handelingen te herleiden naar individuele personen.
  • TVZ_C.04Beheersorganisatie toegangsbeveiligingDe eigenaar van het toegangsbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben, waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Invullen, coördineren en borgen van de beheersing van het toegangsbeveiligingssysteem.
    TVZ_U.01RegistratieprocedureEen formele registratie- en afmeldprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Het bewerkstelligen van een gecontroleerde toegang voor bevoegde gebruikers en voorkomen van onbevoegde toegang tot informatiesystemen.
    … overige resultaten