Controles voor risicovolle bedrijfsprocessen

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Contactpersoon:

Ruud de Bruijn, CIP

Controles voor risicovolle bedrijfsprocessen.png
Controles voor risicovolle bedrijfsprocessen is een eis (Beheersmaatregel)

Status: Concept

Specialiseert: Validatie van gegevensverwerking
Thema: Beveiliging/Administratieve controle
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst), NEN-ISO/IEC 27001,

BIR/ISO 27001:2005 12.2.1

Eis: Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen.

Realiseert

Controles voor risicovolle bedrijfsprocessen is een uitwerking van de volgende andere beheersmaatregelen:

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Controles voor risicovolle bedrijfsprocessen:

  1. Aparte applicatietaken. Applicatietaken, die gegevens verwerken met extra (hoog) belang, kunnen van de overige transacties gescheiden worden om functiescheiding op basis van autorisatie mogelijk te maken. In dat geval worden de desbetreffende gegevens als aparte gegevensrubriek gezien, waarvan de rubricering doorwerkt bij alle transacties van de toepassing. Gegevens van te onderscheiden aard kunnen ook worden opgenomen in aparte bestanden, zodat de toegang en verwerking gedifferentieerd kunnen worden.
  2. Extra audit trail. Bij applicatietaken met een verhoogd belang kan meer uitgebreide vastlegging van uitgevoerde activiteiten in de audit trail worden overwogen. Dit kan ook het geval zijn als de applicatie mogelijkheden biedt tot oneigenlijk gebruik van raadpleegbevoegdheden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  3. Controletellingen database. Bij het online verwerken van mutaties in een database kunnen controletellingen van aantallen en bedragen apart worden bijgehouden en gemuteerd. Frequent wordt dan gecontroleerd of deze controletellingen in overeenstemming zijn met de daadwerkelijke telling van de database. Voor deze controle wordt dan een aparte taak gedefinieerd.
  4. Gegevensencryptie. Gegevensencryptie op applicatieniveau (database niveau) is een extra middel om de vertrouwelijkheid en de integriteit van de gegevensuitwisseling of -opslag te waarborgen.
  5. Gegevensrubricering tonen. Gegevensrubricering tonen op beeldscherm, output en verwisselbare gegevensdragers en meesturen met elektronische gegevensuitwisseling. De gebruikers en/of ontvangers dienen op de hoogte te zijn van wat de rubricering betekent voor de behandeling van de gegevens. Organisaties die gerubriceerde gegevens uitwisselen dienen op de hoogte te zijn van de betekenis van de rubricering; hanteren de organisaties een andere naamgeving dan dienen zij onderlinge afspraken te maken hoe de verschillende naamgevingen op elkaar aansluiten.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Controles voor risicovolle bedrijfsprocessen:



Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen