Communicatievoorzieningen Beleid

Uit NORA Online
ISOR:BIO Thema Communicatievoorzieningen Beleid
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.

Meer lezen

BIO Thema-uitwerking Communicatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten, controls en maatregelen

Onderstaande afbeelding is het resultaat van de SIVA-analyse op relevante objecten voor het informatievoorzieningsbeleid. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Het wit ingekleurde object ontbreekt als control in de Baseline Informatiebeveiliging Overheid (BIO) maar is wel cruciaal voor dit thema.

Afbeelding geeft een overzicht en de ordening van objecten. Voor de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de invalshoek: Intentie, Functie, Gedrag of Structuur).


”Overzicht communicatievoorzieningenobjecten in het beleidsdomein”
Overzicht communicatievoorzieningenobjecten in het beleidsdomein






Risico

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.

Doelstelling

Dit domein beschrijft BIO-normatieve eisen voor beleid, die randvoorwaardelijk en bedoeld zijn voor de realisatie en operatie van communicatievoorzieningen.

Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDPrincipeCriterium
CVZ_B.01Beleid en procedures informatietransportTer bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
CVZ_B.02Overeenkomsten over informatietransportOvereenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
CVZ_B.03Cryptografiebeleid voor communicatieTer bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.
CVZ_B.04Organisatiestructuur van netwerkbeheerIn het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDStellingNorm
CVZ_B.01.01Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
CVZ_B.01.02Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid of richtlijnen omschrijven het toepassen van cryptografie
CVZ_B.01.03Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
CVZ_B.01.04De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging.Procedures beschrijven het beveiligen van informatie
CVZ_B.01.05De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017).Procedures beschrijven het opsporen van en beschermen tegen malware
CVZ_B.01.06De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
CVZ_B.01.07E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
CVZ_B.02.01Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
  • directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
  • procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
  • speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
  • het handhaven van een bewakingsketen voor informatie tijdens de verzending;
  • acceptabele niveaus van toegangsbeveiliging.
Elementen in overeenkomsten over informatietransport
CVZ_B.02.02In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
CVZ_B.03.01In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • Wanneer cryptografie ingezet wordt.
  • Wie verantwoordelijk is voor de implementatie.
  • Wie verantwoordelijk is voor het sleutelbeheer.
  • Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • De wijze waarop het beschermingsniveau wordt vastgesteld.
  • Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld
  • In het cryptografiebeleid uitgewerkte onderwerpen
    CVZ_B.03.02Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
  • Welk type gegevens moet voor welke communicatievorm worden versleuteld.
  • Welk type gegevens elektronisch worden ondertekend.
  • Aan welke standaarden cryptografische toepassingen dienen te voldoen.
  • In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.
  • Aanvullende onderdelen in het cryptografiebeleid
    CVZ_B.04.01In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management)In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CVZ_B.04.02De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.De beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CVZ_B.04.03De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd