Controle op gegevensuitwisseling

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Controle op gegevensuitwisseling.png
Controle op gegevensuitwisseling is een eis (Beheersmaatregel)

Status: Concept
Realiseert Afgeleid Principe: Vertrouwelijkheid (principe),Integriteit

Thema: Beveiliging/Filtering
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst), NEN-ISO/IEC 27001,

BIR/ISO 27001:2005 10.4.1, 10.8.1, ISO 27001:2013 13.2


Eis: De gegevensuitwisseling tussen zones wordt naar vorm en inhoud gecontroleerd, waarbij ongewenste gegevens worden geblokkeerd.

Realiseert

Controle op gegevensuitwisseling realiseert het/de afgeleide principe(s):

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Controle op gegevensuitwisseling:

  1. De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt, wordt alleen verzonden naar computerterminals en locaties met een autorisatie. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  2. Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controles.
  3. E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage. Gecontroleerd wordt of de aanduiding van de coderingsvorm klopt met de werkelijke coderingsvorm van de bijlage.
  4. Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd om problemen wegens onbeschikbaarheid te voorkomen.
  5. Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s blokkeert met kwaadaardige code (virussen/wormen/trojans/spyware etc.) in zowel ontvangen als verzonden e-mails. Een update van antivirusdefinities vindt frequent plaats. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  6. Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichten. Een update van het spamfilter vindt frequent plaats.
  7. Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief. Een update van virusdefinities en/of antivirusprogrammatuur kan op ieder moment (handmatig) uitgevoerd worden en vindt periodiek of bij concrete dreigingen geautomatiseerd plaats. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  8. In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast. (BIR (Baseline Informatiebeveiliging Rijksdienst))


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Controle op gegevensuitwisseling:



Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen