Cryptografie Softwarepakketten

Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	SWP_B.05
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Structuur

Objectdefinitie

Betreft een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.

Objecttoelichting

Cryptografie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Een solide cryptografiebeleid is daarbij een randvoorwaarde om de vertrouwelijkheid van informatie te kunnen garanderen. Met dit beleid geeft de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten voor versleuteling van gegevens.

Schaalgrootte

Groot.

Voor wie

Klant.

Criterium

Ter bescherming van de communicatie en opslag van informatie behoort, een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.

Doelstelling

Het beheersen van cryptografie binnen softwarepakketten om de vertrouwelijkheid van informatie te kunnen garanderen.

Risico

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Structuur.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.24

Onderliggende normen

ID	Conformiteitsindicator	Stelling
SWP_B.05.01	Communicatie en opslag	Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling.
SWP_B.05.02	Cryptografische beheersmaatregelen	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: Wanneer cryptografie ingezet wordt. Wie verantwoordelijk is voor de implementatie. Wie verantwoordelijk is voor het sleutelbeheer. Hoe geregistreerd wordt waar welke cryptografie toegepast wordt. Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast. De wijze waarop het beschermingsniveau vastgesteld wordt. Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.