Categorie:Implementatierichtlijnen
Naar navigatie springen
Naar zoeken springen
Implementatierichtlijnen |
Een implementatierichtlijn is een verbijzondering van een (ArchiMate) eis (requirement). Implementatierichtlijnen expliciteren beheersmaatregelen. Zij fungeren als ontwerp- en toetsingsnorm en zijn het meest concrete abstractieniveau in het katern Beveiliging, op het grensvlak van ‘WAT’ en ‘HOE’ van normenkaders.
Implementatierichtlijnen kunnen worden gevonden op de pagina van de beheersmaatregel die zij expliciteren en zijn gebaseerd op bronnen zoals de BIR (Baseline Informatiebeveiliging Rijksdienst).
Pagina’s in categorie "Implementatierichtlijnen"
Deze categorie bevat de volgende 200 pagina’s, van de 215 in totaal.
(vorige pagina) (volgende pagina)A
- Afdrukken selectiecriteria bij uitvoerlijsten
- Afstand tussen locaties
- Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingen
- Aparte applicatietaken
- Aparte taak voor goedkeuren
- Authenticatie van gebruikers plaats op basis van cryptografische techniek
- Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid
- Automatisch aanmelden is niet toegestaan voor interactieve gebruikers
- Autorisatiebeheersysteem
B
- Basisscheidingen (klassieke functiescheiding)
- Batch- en hashtotals
- Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen
- Beheer van zones vindt plaats vanuit een eigen zone
- Beheer versus gebruik
- Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderen
- Beheermogelijkheden zijn zoveel mogelijk afgesloten
- Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen
- Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur
- Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerking
- Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd
- Berichtverwerkende infrastructuur past foutloze berichtenverwerking toe
- Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluiten
- Bewaartermijn audit trail
- Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijk
- Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfuncties
- Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologie
- Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden
- Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerd
- Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatie
- Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd
- Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen
- Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongen
- Werkplek voor telewerken
- Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanisme
C
D
- Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismen
- Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen
- De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatie
- De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM)
- De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zone
- De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau
- De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen
- De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekend
- De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone
- De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen
- De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeld
- De sleutellengte is instelbaar en voldoende groot
- De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken worden
- De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatie
- De toekenning van rechten aan processen en bestanden is zo minimaal mogelijk
- De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie
- De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoeren
- Handelingen op te nemen in de logging
- De volledigheid van de logging kan worden vastgesteld
- Default waarden
- Dezelfde gegevens in meerdere gegevensverzamelingen
- Dubbele of ontbrekende bestandsuitwisseling
- Dubbele uitvoering van voorzieningen
E
- E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage.
- Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelen
- Een zone heeft een gedefinieerd beveiligingsniveau
- Eenduidige mutatieverantwoordelijkheden
- Elke zone heeft een vastgesteld uniek beveiligingsdoel
- Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie
- Situaties waarin encrypties dient te worden toegepast
- Encryptie binnen of ten behoeve van een applicatie
- Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert
- Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichten
- Er is een betrouwbare berichtendienst in het besloten netwerkverkeer
- Er is gespecificeerd welke beveiligingsincidenten kunnen optreden
- Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd
- Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken
- Er is voldoende buffering van tussenbestanden bij langere verwerkingsketens
- Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismen
- Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resources
- Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingen
- Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt
- Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden
- Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten melden
- Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie
- Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten
- Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatie
- Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkers
- Extra audit trail
G
- Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen
- Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking
- Gebruikersnaam beheer
- Gegevensencryptie
- Gegevensrubricering tonen
- Geleidelijsten
- Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardware
- Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefouten
H
- Handmatige bestandscorrecties
- Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaarden
- Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.
- Het gebruik van speciale beheeraccounts is uitgeschakeld
- Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log
- Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers
- Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie
- Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord
I
- Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing
- In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden
- In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan
- In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast
- In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden
- In een logregel weg te schrijven informatie
- In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkeren
- Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalen
- Informatieverstrekking aan derden
- Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maakt
- Inhoud audit trail
- Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd
- Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerd
- Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatie
- Instellingen in overeenstemming met inrichtingsdocument
- Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerd
- Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.
- Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principe
- Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone
- Invoer aan de bron
- IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerd
- IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baseren
N
O
- Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd
- Onderscheid in invoeren wijzigen en verwijderen
- Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeld
- Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd
- Onweerlegbaarheid juiste ontvanger en verzender
- Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief
- Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur
- Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld
- Overschrijdingen van drempelwaarden worden doorgegeven aan een Event Console
P
- Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissen
- Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periode
- PKI bij een onvertrouwd netwerk
- Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd
S
- Scheiden en afhankelijk maken van processtappen
- Scheiding bij massale invoer
- Scheiding naar inhoud van gegevens
- Scheiding per zaak
- Schonen audit trail
- Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutels
- Signaleren invoer
- Snelle beschikbaarheid van reserve-voorzieningen
- Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomen
- Stamgegevens versus mutaties
- Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismen
- Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheiden
- Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden
- Systeemklokken worden tijdens openstelling gesynchroniseerd
- Systeemprocessen draaien onder een eigen gebruikersnaam
T
- Technische integriteit programmapakketten
- Terugmelden invoer klantgegevens
- Terugmelden omschrijving
- Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken
- Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekend
- Toepassen logistiek model
- Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaien
- Transactionele integriteit in lange ketens van verwerking
U
V
- Validatie/ bestaanbaarheid/ relatie
- Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
- Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.
- Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten
- Vastleggen verwerkingsdatum
- Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingen
- Verplichte veldinvulling bij kritische gegevens
- Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controles
- Vitale bedrijfsgegevens worden in een aparte zone geplaatst
- Voldoende mogelijkheden tot informatievoorziening
- Volledigheid (en juistheid) inzending berichten
- Volledigheid invoer-volgorde controle
- Volledigheid uitvoer
- Volledigheid uitvoerlijsten zelf
- Volledigheid verzending berichten
- Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt
- Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspunten
- Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld
- Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres
- Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond
- Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding