Communicatievoorzieningen Beleid

Uit NORA Online
ISOR:BIO Thema Communicatievoorzieningen Beleid
Naar navigatie springen Naar zoeken springen
Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.

Meer lezen

BIO Thema-uitwerking Communicatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Doelstelling[bewerken]

Het beleidsdomein beschrijft normatieve eisen voor beleid, die randvoorwaardelijk en bedoeld zijn voor de realisatie en operatie van communicatievoorzieningen.

Risico's[bewerken]

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.

Objecten, controls en maatregelen

Onderstaande afbeelding is het resultaat van de SIVA-analyse op relevante objecten voor het informatievoorzieningsbeleid. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Het wit ingekleurde object ontbreekt als control in de Baseline Informatiebeveiliging Overheid (BIO) maar is wel cruciaal voor deze BIO Thema-uitwerking. Het geeft een overzicht en de ordening van objecten. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur.


”Overzicht communicatievoorzieningenobjecten in het beleidsdomein”
Overzicht objecten voor communicatievoorzieningen in het beleidsdomein


Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect[bewerken]

IDPrincipeCriterium
CVZ_B.01Beleid en procedures voor informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CVZ_B.02Overeenkomst voor informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
CVZ_B.04Organisatiestructuur netwerkbeheerIn het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect[bewerken]

IDStellingNorm
CVZ_B.01.01Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CVZ_B.01.02Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
CVZ_B.01.03Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CVZ_B.01.04De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
CVZ_B.01.05De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017).Procedures beschrijven het opsporen van en beschermen tegen malware
CVZ_B.01.06De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CVZ_B.01.07E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CVZ_B.02.01Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
  • directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  • procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheid;
  • speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  • het handhaven van een bewakingsketen voor informatie tijdens de verzending;
  • acceptabele niveaus van toegangsbeveiliging.
Elementen in overeenkomsten over informatietransport
CVZ_B.02.02In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CVZ_B.03.01In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wanneer cryptografie ingezet wordt.
  • Wie verantwoordelijk is voor de implementatie.
  • Wie verantwoordelijk is voor het sleutelbeheer.
  • Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • De wijze waarop het beschermingsniveau wordt vastgesteld.
  • Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld
  • In het cryptografiebeleid uitgewerkte onderwerpen
    CVZ_B.03.02Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
  • Welk typen gegevens moeten voor welke communicatievorm worden versleuteld.
  • Welk typen gegevens elektronisch worden ondertekend.
  • Aan welke standaarden cryptografische toepassingen dienen te voldoen.
  • In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.
  • Aanvullende onderdelen in het cryptografiebeleid
    CVZ_B.04.01In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management).In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CVZ_B.04.02De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CVZ_B.04.03De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd