Communicatievoorzieningen Control
Deze informatie is onderdeel van BIO Thema Communicatievoorzieningen.
Meer lezen |
Binnen het Controldomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).
Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de beheersingsorganisatie beschrijft de samenhang van de ingerichte processen.
Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.
Nr. | Relevante beveiligingsobjecten | Referentie naar standaarden | IFGS |
---|---|---|---|
C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 | I |
C.02 | Netwerkbeveiliging compliancy checking | BIO:8.2.2.4, ISO27033-1 ISO27033-2: 7.2.6, 8.7 | F |
C.03 | Evalueren van robuustheid netwerkbeveiliging | BIO:18.1.2, 18.2.1, ISO27033-1: 8.2.5, SoGP: NW1.3 | F |
C.04 | Evalueren van netwerkgebeurtenissen (monitoring) | BIO:8.2.4, ISO27033-1 | G |
C.05 | Beheersorganisatie netwerkbeveiliging | ISO27003: ISMS, SoGP: NW1.4 | S |
Risico
Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.
Doelstelling
Doel van het Controldomein (beheersing) is te zorgen en/of vast te stellen dat:
- netwerkdiensten veilig zijn ingericht voor het leveren van de beoogde prestaties;
- het beoogde beveiligingsniveau van technische netwerkdiensten en netcomponenten kan worden gegarandeerd.
Dit betekent dat de organisatie over adequate beheersingsorganisaties beschikt en waarin beheerprocessen zijn vormgegeven.
Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect
ID | principe | Criterium |
---|---|---|
CommVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. |
CommVZ_C.02 | Netwerk security compliancy checking | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks). |
CommVZ_C.03 | Evalueren netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. |
CommVZ_C.04 | Evalueren netwerk monitoring | Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.. |
CommVZ_C.05 | Beheerorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen. |
Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect
ID | Stelling | Norm |
---|---|---|
CommVZ_C.01.1 | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
| De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
CommVZ_C.02.1 | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s |
CommVZ_C.02.2 | De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Checklist voor veilige inrichting van netwerk(diensten) |
CommVZ_C.02.3 | Resultaten worden gerapporteerd aan het verantwoordelijke management. | Resultaten worden gerapporteerd aan het verantwoordelijke management |
CommVZ_C.03.1 | De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
CommVZ_C.04.1 | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Zeer belangrijke onderdelen van netwerkbeveiliging |
CommVZ_C.04.2 | Continue bewaking via monitoring legt de volgende informatie vast:
| Continue bewaking via monitoring |
CommVZ_C.05.1 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
CommVZ_C.05.2 | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
| Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |