Communicatievoorzieningen Control

Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.

Normenkader-aspect
ID:	CVZ_C
Versie:	2.0
Status:	Concept
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	9-2-2019
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	30-3-2021
Indeling
Beveiligingsaspect:	Control
Invalshoek:

Meer lezen

→ BIO Thema-uitwerking Communicatievoorzieningen

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Objecten, controls en maatregelen

Onderstaande afbeelding is het resultaat van de Structuur, Inhoud, Vorm en Analysevolgorde (SIVA)-analyse op relevante objecten voor netwerk-control. Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door bepaalde functionarissen met specifieke bevoegdheden controleactiviteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de beheersingsorganisatie beschrijft de samenhang van de ingerichte processen.

Onderwerpen die binnen het Control domein een rol spelen

Risico

Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.

Doelstelling

Het doel van het control-domein (beheersing) is te zorgen en/of vast te stellen dat:

netwerkdiensten veilig zijn ingericht voor het leveren van de beoogde prestaties;
het beoogde beveiligingsniveau van technische netwerkdiensten en netcomponenten kan worden gegarandeerd.

Dit betekent dat de organisatie over adequate beheersingsorganisaties beschikt en waarin beheerprocessen zijn vormgegeven.

Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect

ID	principe	Criterium
CVZ_C.01	Naleving richtlijnen netwerkbeheer en evaluaties	Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.
CVZ_C.02	Compliance toets netwerkbeveiliging	De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen).
CVZ_C.03	Evalueren robuustheid netwerkbeveiliging	De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
CVZ_C.04	Evalueren netwerkgebeurtenissen (monitoring)	Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CVZ_C.05	Beheerorganisatie netwerkbeveiliging	Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect

ID	Stelling	Norm
CVZ_C.01.01	De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen: netwerktopologie/-ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’; identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen; autorisatiemechanismen en een actuele administratie van de uitgegeven rechten; actuele beleidsregels voor de netwerkbeveiliging; aanwijzingen voor hardening van netwerkcomponenten; verifieerbare auditlogoplossing.	De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CVZ_C.02.01	De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit: een actueel beveiligingsbeleid; gerelateerde security operation-documentatie; specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten); het beleid voor toegang tot security gateway services; bedrijfscontinuïteitsplannen; relevante beveiligingscondities voor netwerkverbindingen.	Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
CVZ_C.02.02	Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.	Checklist voor veilige inrichting van netwerk(diensten)
CVZ_C.02.03	De resultaten worden gerapporteerd aan het verantwoordelijke management.	Resultaten worden gerapporteerd aan het verantwoordelijke management
CVZ_C.03.01	De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen: de robuustheid van het ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’; de sterkte van Identificatie-, Authenticatie en Autorisatie (IAA)-mechanismen en de relevantie van uitgegeven rechten; de juiste implementatie van de beleidsregels voor netwerkbeveiliging; de verificatie van de hardening van netwerkcomponenten; de verificatie van de auditlogoplossing; de bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen; informatie over gebeurtenissen en incidenten, gerapporteerd door servicepersoneel en eindgebruikers.	De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CVZ_C.04.01	Zeer belangrijke onderdelen van netwerkbeveiliging zijn het: via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen; onderzoek uit te voeren en vervolgens; snel reageren.	Zeer belangrijke onderdelen van netwerkbeveiliging
CVZ_C.04.02	Continue bewaking via monitoring legt de volgende informatie vast: auditlogs vanuit de netwerkcomponenten: firewalls, router, servers etc.; analyse-informatie vanuit Intrusion Detection Systems (IDS); resultaten vanuit netwerkscanningsactiviteiten.	Continue bewaking via monitoring
CVZ_C.05.01	De communicatievoorzieningen worden geïdentificeerd en gedefinieerd.	De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
CVZ_C.05.02	Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten: De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend. De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd. De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken. De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.	Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie