Gebruiker:JDirks/tabellen ISOR

Uit NORA Online
Ga naar: navigatie, zoeken

BIO Thema Toegangsbeveiliging: Bijlage 4 Aandachtspunten ten aanzien objecten[bewerken]

Objecten Baseline Opmerking/Thema
Gedeelde Autorisatie NIST Opm: Niet geadresseerd in TB
Sessie NIST Opm: Niet geadresseerd in TB
Labelen NIST, ISO Opm: Niet geadresseerd in TB
Speciale systeemhulpmiddelen ISO Opm: Niet geadresseerd in TB
Toegangsbeveiliging op (programma-) broncode ISO Opm: Niet geadresseerd in TB
Draadloze Toegangsverbinding NIST, ISO Thema: Werkplek
Remote Access NIST, ISO Thema: Werkplek
Externe connectie NIST, ISO Thema: Werkplek
Toegang Mobiele Apparatuur NIST, ISO Thema: Werkplek
Overige
Verantwoordelijkheden gebruikers ISO 9.3. Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Inlogprocedures U3. Missen daar niet de rest van de ISO 9.4.2.-indicatoren?
Verantwoordelijkheden gebruikers ISO 9.3 Mist in bovenstaande beschrijving. Het beheer (9.2.4.) is wel beschreven, maar het gebruik niet!
Wachtwoordenbeheer U.05 Missen daar niet de rest van de ISO 9.4.3.-indicatoren?
Verwijzingen naar practices opnemen

Tabel 3:Aandachtspunten ten aanzien van objecten

Verbindingsdocument: A2. Generieke toegangsbeveiligingsobjecten[bewerken]

BIO/ISO Nr. Generieke objecten
1. 9.1.1. Toegangsbeveiligingsbeleid
2. 8.1.2. Eigenaarschap bedrijfsmiddelen
3. 6.1.2. Beveiligingsfunctie
4. 10.1.1. Cryptografie
5. SA Beveiligingsorganisatie
6. SA Toegangsbeveiligingsarchitectuur
7. 9.2.1. Registratieprocedure
8. 9.2.2. Toegangsverleningsprocedure
9. 9.4.2. Inlogprocedure
10. 9.2.6. Autorisatieproces
11. 9.4.3. Wachtwoord beheer
12. 9.2.3. Speciale toegangsrechten beheer
13. 12.1.4. Functiescheiding
14. 9.2.4. Geheime authenticatie-informatie (Identificatie & Authenticatie)
15. 9.4.1. Autorisatie
16. SA Toegangsvoorzieningsfaciliteiten
17. 11.1.2. Fysieke toegangsbeveiliging
18. SA Beoordelingsrichtlijnen en procedures
19. 9.2.5. Beoordeling toegangsrechten
20. 12.4.1. Gebeurtenissen registreren (Logging en Monitoring)
21. SA Beheersingsorganisatie toegangsbeveiliging
Legenda: SA- uit SIVA analyse
Beleid
Uitvoering
Control

Tabel 4: Overzicht van de geïdentificeerde objecten uit BIO/ISO

Verbindingsdocument: A4. Cross-reference naar praktijktoepassingen[bewerken]

Nr. BronBIO/ISO Domein Generieke objecten Best PracticesNORA, NIST, SoGP
1. 9.1.1. B Toegangsbeveiligingsbeleid NIST, SoGP
2. 8.1.2. B Eigenaarschap bedrijfsmiddelen NIST, IBD, SoGP
3. 6.1.2. B Beveiligingsfunctie SoGP, Cobit
4. 10.1.1. B Cryptografie NORA, Themapatroon Encryptie
5. SA B Beveiligingsorganisatie Aanvulling
6. SA B Toegangsbeveiligingsarchitectuur NORA, katern beveiliging in samenhang
7. 9.2.1. U Registratieprocedure NORA, Themapatroon IAM
8. 9.2.2. U Toegangsverleningsprocedure ISO
9. 9.4.2. U Inlogprocedure NORA, Patroon Access Management (AM
10. 9.2.6. U Autorisatieproces NORA, Patroon IAM en AM
11. 9.4.3. U Wachtwoord beheer SoGP, ISO, NIST
12. 9.2.3. U Speciale toegangsrechten beheer SoGP, ISO, NIST
13. 12.1.4. U Functiescheiding SoGP, ISO, NIST
14. 9.2.4. U Geheime authenticatie-informatie (Id. & Auth.) NORA, Patroon Identity Management (IM)
15. 9.4.1. U Autorisatie NORA, Patroon IM en AM
16. SA U Toegangsvoorzieningsfaciliteiten NORA, Patroon Access Management
17 . 11.1.2. U Fysieke toegangsbeveiliging ISO
18. SA C Beoordelingsrichtlijnen en procedures Aanvulling
19. 9.2.5. C Beoordeling toegangsrechten NORA, Patron Access Management
20. 12.4.1. C Gebeurtenissen registreren (Logging en Monitoring) NORA, Patroon SIEM en Logging
21. SA C Beheersingsorganisatie toegangsbeveiliging Aanvulling


Tabel 5: Cross-reference naar praktijktoepassingen

Thema Huisvesting: 2.1. Vastgestelde generieke objecten[bewerken]

Nr Bron: ISO/BIO of alternatief Generieke objecten

Geel: Beleid, Rood: Uitvoering, Blauw: Control

1. 5.1.1. Huisvestingsbeleid
2. 7.2.2. Training en Awareness
3. 8.1.2. Eigenaarschap
4. 18.1.1. Wet en regelgeving
5. Uit SIVA analyse Organisatie
6. Uit SIVA analyse Architectuur
7. idem -> ITIL Contractmanagement
8. idem -> ITIL Servicelevelmanagement
9. idem -> NIST Certificering
10. 8.1.1. Bedrijfsmiddelen inventaris
11. 11.1.1. Fysieke zonering
12. 11.1.2. Fysieke toegangsbeveiliging
13. 11.1.3. Beveiligingsfaciliteit
14. 11.1.4. Interne en Externe bedreigingen
15. 11.1.5. Richtlijnen gebieden en ruimten
16. 11.1.6. Laad- en loslocatie
17. 11.2.1. Apparatuur positionering
18. 11.2.2. Nutsvoorzieningen
19. 11.2.3. Bekabeling
20. 11.2.4. Apparatuur onderhoud
21. 11.2.5. Bedrijfsmiddelen verwijdering
22. 11.2.7. Apparatuur verwijdering
23. 9.2.1. Registratieprocedure
24. 9.2.4. Beoordeling Fysieke toegangsrechten
25. Uit SIVA analyse Controle richtlijn Huisvesting-IV
26. idem Onderhoudsplan
27. idem Huisvestingsbeheerorganisatie
28. idem -> ITIL Continuïteitsmanagement

Tabel 6: Vastgestelde generieke objecten

Thema Huisvesting: 2.2.Omschrijvingen van generieke objecten[bewerken]

Nr. ISO Generiek object Omschrijving generiekobject gericht op Huisvesting-IV
1. 5.1.1. Huisvestingsbeleid Door het bevoegd gezag (management) vastgesteld, specifiek beleid m.b.t. aanschaf, inrichting en gebruik van de Huisvesting-IV. Huisvestingsbeleid bevat tevens uitspraken over hoe om te gaan met externe en interne dreigingen, fysieke, gecontroleerde toegang en fysieke zonering van ruimten.
2. 7.2.2. Training en Awareness Een formeel proces voor training, opleiding, en bewustzijn voor medewerkers aangaande Huisvesting-IV veiligheid.
3. 7.1.2. Eigenaarschap Het toewijzen van verantwoordelijkheid over middelen aan medewerkers om te bevorderen dat noodzakelijke acties wordt ondernomen. Met het eigenaarschap kunnen medewerkers zaken in ‘positieve’ zin beïnvloeden. Zaken die van invloed zijn op houding, gedrag en motivatie en hiermee op de prestatie van de medewerker.
4. 18.1.1. Wet- en Regelgeving Door de overheid afgevaardigde Wet- en regelgeving.
5. X Huisvestingsorganisatie Een groepering van mensen die in onderlinge samenwerking activiteiten ontplooien binnen de Huisvesting-IV, om op doelmatige wijze overeengekomen doelstellingen te bereiken. Als collectief dragen zij bij aan de realisatie van geformuleerde missie, een visie en doelstellingen van de Huisvesting-IV. Zij doen dit op basis van beleid en strategie, met inzet van resources.
6. X Huisvestingsarchitectuur De structuur van de huisvesting-IV t.a.v. de organisatie en techniek in samenhang beschreven. (rollen en de verantwoordelijkheden van de betrokken actoren voor het geven van richting en het inrichten en het beheersen van de Huisvesting-IV ; technische beschrijving van bedrijfsmiddelen, bedoeld voor huisvesting van IV).
7. X Contractmanagement Beheerproces voor overeenkomst tussen klant en leverancier waarin de afspraken over de te leveren Huisvesting-IV-diensten zijn vastgelegd.
8. X Servicelevelmanagement Beheerproces dat verantwoordelijk is voor het maken van afspraken met de klanten, de controle uitoefent over de naleving van de gemaakte afspraken en de communicatie over de diensten met de klanten verzorgt.
9. X Certificering Een bewijs dat bevestigt dat de Huisvesting-IV van objecten voldoet aan vooraf vastgestelde eisen, uitgevoerd door een overheidsinstantie of een erkende organisatie.
10. 8.1.1. Bedrijfsmiddelen inventaris Alle machines, apparatuur, informatie, software die overzichtelijk geïnventariseerd moet zijn.
11. 11.1.1. Fysieke zonering Fysieke voorziening voor gecontroleerde, fysieke toegang tot terreinen, gebouwen en ruimten.
12. 11.1.3. Beveiligingsfaciliteiten Faciliteiten waarmee bedrijfsmiddelen en voorzieningen binnen gebouwen beveiligd worden.
13. 11.1.4. Interne en Externe bedreigingen Fysieke schadelijke invloeden van binnenuit of buitenaf van natuurlijke aard zoals storm, overstromingen en aardschokken of calamiteiten door de mens, zoals brand, explosies en andere, onvoorziene calamiteiten.
14. 11.1.5. Richtlijnen gebieden en ruimten Richtlijnen voor gebieden en werkruimten die als beveiligingszones gelden waarbinnen personen als bezoekers verblijven, of waar geautoriseerde medewerkers activiteiten ontplooien.
15. 11.1.6. Laad- en los locatie Specifieke toegangspunten op het terrein van de Huisvesting-IV voor het laden en lossen van goederen.
16. 11.2.1. Apparatuur positionering Apparatuur die binnen de Huisvesting-IV geplaats en beschermd worden voor toepassing van vastlegging, verwerking, opslag, overdracht, vermenigvuldiging en verstrekking van informatie.
17. 11.2.2. Nutsvoorzieningen Voorzieningen (zoals gas, water, elektriciteit) die door nutsbedrijven geleverd worden.
18. 11.2.3. Bekabeling Middel voor energietransport van een bron naar een bestemming.
19. 11.2.4. Apparatuur onderhoud Apparatuur (Machines) die periodiek volgens een bepaalde procedure onderhouden moet worden.
20. 11.2.7. Apparatuur verwijdering Het verwijderen van apparatuur volgens een geregistreerde procedure.
21. 11.2.5. Bedrijfsmiddel verwijdering Het verwijderen van elk middel, waarin of waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en waarmee toegang tot gebouwen ruimten en IT-voorzieningen kan worden verkregen. (bedrijfsproces; een gedefinieerde groep activiteiten; een gebouw; een apparaat; een IT-voorziening of een gedefinieerde groep gegevens).
22. X Controlerichtlijn Huisvesting-IV Richtlijn voor het periodiek evalueren van het opgespeld beleid van de Huisvesting-IV op actualiteitswaarde.
23. X Onderhoudsplan Document waarin activiteiten voor het regulier onderhoud van de Huisvesting-IV voor de komende jaren wordt aangegeven om gebouwen en ruimten van de Rekencentra in een goede staat te houden.
24. X Huisvestings- beheersorganisatie De organisatorische beheersstructuur waarin de rollen en de verantwoordelijkheden van de betrokken actoren voor de beheersing van de Huisvesting-IV duidelijk zijn verankerd.
25. X Continuïteitsmanagement Continuïteitsmanagement is het beheerproces dat verantwoordelijk is voor alle activiteiten om de continuïteit van de geleverde Huisvesting-IV-diensten te waarborgen en voorzieningen te treffen om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen, ten einde het vereiste niveau van beschikbaarheid te kunnen waarborgen.
X = Aanvullend vanuit analyse

Tabel 7: Omschrijvingen van generieke objecten uit ISO/ BIR met aanvullende generieke objecten


BIO Thema Huisvesting IV: A.2 Generieke objecten[bewerken]

Nr. Bron: ISO/BIO of alternatief Generieke objecten

Ge: beleid, Rd uitvoering, Bl: control

1. 5.1.1. Huisvestingsbeleid
2. 7.2.2. Training en Awareness
3. 8.1.2. Eigenaarschap
4. 18.1.1. Wet en regelgeving
5. Uit SIVA analyse Organisatie
6. Uit SIVA analyse Architectuur
7. Uit SIVA analyse -> ITIL Contractmanagement
8. Uit SIVA analyse -> ITIL Servicelevelmanagement
9. Uit SIVA analyse -> NIST Certificering
10. 8.1.1. Bedrijfsmiddelen inventaris
11. 11.1.1. Fysieke zonering
12. 11.1.2. Fysieke toegangsbeveiliging
13. 11.1.3. Beveiligingsfaciliteit
14. 11.1.4. Interne en Externe bedreigingen
15. 11.1.5. Richtlijnen gebieden en ruimten
16. 11.1.6. Laad- en loslocatie
17. 11.2.1. Apparatuur positionering
18. 11.2.2. Nutsvoorzieningen
19. 11.2.3. Bekabeling
20. 11.2.4. Apparatuur onderhoud
21. 11.2.5. Bedrijfsmiddelen verwijdering
22. 11.2.7. Apparatuur verwijdering
23. 9.2.1. Registratieprocedure
24. 9.2.4. Beoordeling Fysieke toegangsrechten
25. Uit SIVA analyse Controle richtlijn Huisvesting-IV
26. Uit SIVA analyse Onderhoudsplan
27. Uit SIVA analyse Huisvestingsbeheerorganisatie
28. Uit SIVA analyse -> ITIL Continuïteitsmanagement

Tabel 8: Generieke Objecten

BIO Thema Huisvesting IV Verbindingsdocument: A.4 Cross Reference naar praktijktoepassingen[bewerken]

Nr. Bron:ISO…   Onderwerp Referentie naar praktijktoepassing(Verwijzing naar brondocumenten)
1. 5.1.1. B Huisvestingsbeleid a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e)
2. 7.2.2. B Training en Awareness a):H4, h), j), i
3. 8.1.2. B Eigenaarschap a):H2 (voor rijk), j), i)
4. 18.1.1. B Wet en regelgeving i)
5. SIVA B/U Organisatie a):H4
6. SIVA B/U Architectuur i), Richtlijnen - Rijks vastgoedbedrijf (RVB)
7. ITIL B Contractmanagement a):H8, f)
8. ITIL B Servicelevelmanagement f)
9. NIST B Certificering g)
10. 8.1.1. U/VZ Bedrijfsmiddelen inventaris i)
11. 11.1.1. U/GB Fysieke zonering a): H6, c), e), i)
12. 11.1.2. U/VZ Fysieke toegangsbeveiliging a): H6, b), c), i)
13. 11.1.3. U/VZ Beveiligingsfaciliteit NKBR 5.4 voor sleutelplan
14. 11.1.4. U Interne en Externe bedreigingen i), k)
15. 11.1.5. U/GB Richtlijnen gebieden en ruimten a):geheel document, j), i), o)
16. 11.1.6. U/GB Laad- en loslocatie a):H6
17. 11.2.1. U/VZ Apparatuur positionering a):H7 voor beveiligingsvoorzieningen, i), o)
18. 11.2.2. U/VZ Nutsvoorzieningen i), Richtlijnen - RVB
19. 11.2.3. U/VZ Bekabeling i), o), Richtlijnen - RVB
20. 11.2.4. U/VZ Apparatuur onderhoud i), Richtlijnen - RVB
21. 11.2.5. U/VZ Bedrijfsmiddelen verwijdering i)
22. 11.2.7. U/VZ Apparatuur verwijdering i)
23. 9.2.1. C Registratieprocedure i)
24. 9.2.4. C Beo. Fysieke toegangsrechten i)
25. SIVA C Controle richtlijn Huisvesting-IV ? Richtlijnen - RVB
26. SIVA C Onderhoudsplan ? Richtlijnen - RVB
27. SIVA C Huisvestingsbeheerorganisatie a):H4
28. ITIL C Continuïteitsmanagement i), l, m), o), ITIL documentatie

Tabel 9 Cross-reference lijst

BIO Thema Huisvesting IV Verbindingsdocument: A.5 Brondocumenten[bewerken]

  • de omschrijvingen gebruiken in de pagina's van de brondocumenten, en de tabel opbouwen op basis van die pagina's.
  • Zie: ISOR/Grondslagen
Nr. Documentnaam Versie + datum Eigenaar Toelichting
a) Normenkader Beveiliging Rijkskantoren (NKBR) 2.02-10-2015 ICBRBzK Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V)
b) Kader Rijkstoegangs-beleid 1.0 van 11/5/10 ICBR Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’
c) Zoneringsmodel rijkskantoren 5-jul-11 BzK Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB)
d) Richtlijnen Rijks Vastgoedbedrijf (RVB) volgt RVB Nader te bepalen set van eisen in samenspraak met RVB
e) NIST PE Physical and Environ-mental Protection (PE) jun-10 NIST Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering
f) NIST MA System Mainenance Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor beheersingsprocedures
g) NIST CA Security Assessment and Authorization Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor Certificering van organisaties
h) NIST AT Awaress and Training Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers
i) NIST CM Configuration Management Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures
j) Standard of Good Practice (SoGP) Periodiek ISF Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen
k) KWAS Periodiek NCSC Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit
l) NEN-ISO-22323 2012 BzK Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief
m) NORA patronen voor bedrijfs-continuïteit / BCM 2014 BzK https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt
n) BIR 1.0 2011 BzK BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013
o) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Periodiek ieee802.org /ANSI Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet

Tabel 10 Bronverwijzing