Communicatievoorzieningen Uitvoering

Uit NORA Online
ISOR:BIO Thema Communicatievoorzieningen Uitvoering
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema Communicatievoorzieningen.

Meer lezen

BIO Thema Communicatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Uitvoeringdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Communicatievoorzieningen beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Communicatievoorzieningen. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Uitvoeringdomein een rol spelen”
Onderwerpen die binnen het Uitvoeringdomein een rol spelen


 Nr.   Relevante beveiligingsobjecten   Referentie naar standaarden   IFGS 
 U.01   Richtlijnen voor netwerkbeveiliging   BIO:8.2.2.3, ISO27033-1 ISO27033-2: 6,7,8   I 
 U.02   Beveiligde inlogprocedure   BIO:9.4.2, ISO27033-1: 8.4   I 
 U.03   Netwerk beveiligingsbeheer   BIO:13.1.1, ISO27033-1: 8.2, 8.2.2   F 
 U.04   Vertrouwelijkheid- en geheimhoudingsovereenkomst   BIO:13.2.4, SoGP: NW1.1   F 
 U.05   Beveiliging van netwerkdiensten   BIO:13.1.2, ISO27033-1: 10.6   F 
 U.06   Zonering en filtering   BIO:13.1.3, ISO27033-1: 10.7 ISO27033-2: 7.2.3 NORANederlandse Overheid ReferentieArchitectuur Patronen: Zoneringsmodel   F 
 U.07   Elektronische berichten   BIO:13.2.3, ISO27033-1: 10.3, 10.8   F 
 U.08   Toepassingen via openbare netwerken   BIO: 14.2.1   F 
 U.09   Gateways en firewalls   ISO27033-4, SoGP: NC1.5 NORANederlandse Overheid ReferentieArchitectuur Patronen: Koppelvlak   G 
 U.10   Virtual Private Networks (VPN)   ISO27033-5 NORANederlandse Overheid ReferentieArchitectuur Patronen: Vertrouwd toegang-pad   G 
 U.11   Cryptografische services   BIO:10, ISO27033-1: 8.2.2.5 SoGP: NC1.1 NORANederlandse Overheid ReferentieArchitectuur Patronen: Encryptie   G 
 U.12   Wireless Access   ISO27033-6 NORANederlandse Overheid ReferentieArchitectuur Patronen: Draadloos netwerk   G 
 U.13   Netwerkconnecties   BIO:8.2.2.5, ISO27033-1 NORANederlandse Overheid ReferentieArchitectuur Patronen: Koppelvlak   G 
 U.14   Netwerkauthenticatie   NORANederlandse Overheid ReferentieArchitectuur Patronen: Beschouwingsmodel Netwerk   G 
 U.15   Netwerk beheeractiviteiten   ISO27033-1: 8.4, ISO27033-2: 8.4   G 
 U.16   Vastleggen en monitoren van netwerkgebeurtenissen (events)   ISO27033-1: 8.5 ISO27033-2: 8.5   G 
 U.17   Netwerk beveiligingsarchitectuur   BIO:9.2, ISO27033-1 ISO27033-2: 8.6 SoGP: Network design NORANederlandse Overheid ReferentieArchitectuur Patronen: Diverse patronen   S 
Communicatievoorzieningen, Voor het Uitvoeringsdomein uitgewerkte Beveiligingsobjecten


Risico

De belangrijkste risico’s van netwerk(diensten) zijn: negatieve beïnvloeding van de beveiligingsniveaus door koppeling van netwerken, illegaal gebruik, onderbrekingen, afluistering van getransporteerde data, kwetsbaarheden in uitvoerbare code en fysieke of logische inbreuk op netwerkelementen.

Doelstelling

De doel van het uitvoeringsdomein is te waarborgen dat de netwerkinfrastructuur is ingericht overeenkomstig specifieke beleidsuitgangspunten en dat aan de eisen ten aanzien van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid bij het ontwerp en implementatie is voldaan.

Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect

ID principe Criterium
CommVZ_U.01 Richtlijnen netwerkbeveiliging Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor ontwerp, implementatie en beheer (voorbeeld: ISO 27033 deel 2).
CommVZ_U.02 Beveiligde inlogprocedure Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie) systemen en toepassingen te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door een beveiligde inlogprocedure.
CommVZ_U.03 Netwerk beveiligingsbeheer Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen. 
CommVZ_U.04 Vertrouwelijkheids- of geheimhoudingsovereenkomst Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CommVZ_U.05 Beveiliging netwerkdiensten Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CommVZ_U.06 Zonering en filtering Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CommVZ_U.07 Elektronische berichten InformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
CommVZ_U.08 Toepassingen via openbare netwerken InformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CommVZ_U.09 Gateway/Firewall De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CommVZ_U.10 Virtual Private Networks (VPN) Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij de getransporteerd informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CommVZ_U.11 Cryptografische Services Ter bescherming van de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CommVZ_U.12 Wireless Access Draadloos verkeer behoort te worden beveiligd met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CommVZ_U.13 Netwerkconnecties Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CommVZ_U.14 Netwerkauthenticatie 'Authenticatie van netwerknodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (Sniffing) te voorkomen.
CommVZ_U.15 Netwerkbeheer activiteit Netwerken behoren te worden beheerd en beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. om informatie in systemen en toepassingen te beschermen.
CommVZ_U.16 Vastleggen en monitoring van netwerkgebeurtenissen (events) Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd en bewaard en 'beoordeeld' te worden (op de ernst van de risico’s).
CommVZ_U.17 Netwerk beveiligingsarchitectuur Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, leidende principes en de geldende normen en standaarden.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect

ID Stelling Norm
CommVZ_U.01.1 De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
  2. inventarisatie van de functionele eisen;
  3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
  4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  5. evaluatie van bestaande ontwerpen en implementaties.
Stappen ter voorbereiding van veilige netwerkontwerpen
CommVZ_U.01.2 Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
CommVZ_U.01.3 Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. Netwerkbeveiliging is gebaseerd op ITU-T X.80x
CommVZ_U.01.4 Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
CommVZ_U.01.5 Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
CommVZ_U.01.6 De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
CommVZ_U.02.1 Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. Risicoafweging voorafgaand aan het verlenen van toegang tot het netwerk aan externe leveranciers
CommVZ_U.02.2 Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
CommVZ_U.02.3 Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  1. remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  2. versterkte authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., voor toepassingen waarbij de ‘standaard’ authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van gebruikers (en applicaties) kan worden gecompromitteerd;
  3. Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
CommVZ_U.03.1 Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
CommVZ_U.03.2 Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
CommVZ_U.03.3 Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. Beheeractiviteiten worden nauwgezet gecoördineerd
CommVZ_U.03.4 Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
CommVZ_U.03.5 De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
CommVZ_U.03.6 Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
CommVZ_U.04.1 Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  1. de looptijd van een overeenkomst;
  2. de benodigde acties bij beëindiging;
  3. de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  4. hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  5. het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  6. de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  7. de acties in geval van schending van de overeenkomst;
  8. de privacyregelgeving (UAVG en AVG/GDPR).
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
CommVZ_U.05.1 Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen. Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
CommVZ_U.05.2 Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
CommVZ_U.05.3 Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
CommVZ_U.05.4 Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
  • vereiste performance en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van het netwerk;
  • toegestane verbindingstypen;
  • toegestane netwerkprotocollen;
  • toegepaste applicaties op de te leveren netwerkservices;
  • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
CommVZ_U.05.5 De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
CommVZ_U.05.6 Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
CommVZ_U.06.01 Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
CommVZ_U.06.02 Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
CommVZ_U.06.03 Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router). Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
CommVZ_U.06.04 Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
CommVZ_U.07.1 Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. Vastgestelde standaarden tegen phishing en afluisteren gelden voor de elektronische berichten
CommVZ_U.07.2 Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling. Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
CommVZ_U.07.3 Bij web- en mailverkeer van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
CommVZ_U.07.4 Voor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie). Gebruik van AdES Baseline Profile standaard of ETSI TS 102 176-1 voor elektronische berichten
CommVZ_U.07.5 Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema van de organisatie;
  • correcte adressering en transport van het bericht waarborgen;
  • herstelbaarheid van onderbroken communicatie en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de dienst;
  • wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • toestemming verkrijgen van het verantwoordelijk management en gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
  • 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. voor toegang vanuit openbaar toegankelijke netwerken.
Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
CommVZ_U.08.1 Met communicerende partijen worden afspraken gemaakt over:
  • wederzijdse authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.;
  • bevoegdheden voor gebruik van de dienst;
  • integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst;
  • passende verificatie voor de controle van de transactie.
Met communicerende partijen worden afspraken gemaakt
CommVZ_U.09.1 Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. Voor elke gateway of firewall bestaat een actueel configuratiedocument
CommVZ_U.09.2 De filterfunctie van gateways en firewalls is instelbaar. De filterfunctie van gateways en firewalls is instelbaar
CommVZ_U.09.3 Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM. Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
CommVZ_U.09.4 Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. Uitsluitend toegestaan netwerkverkeer wordt doorgelaten
CommVZ_U.10.1 De end-to-end connectie:
  • wordt gecreëerd door scheiding van adresseringsruimte en routeringen tussen VPN’s over het onderliggende netwerk;
  • geeft garanties, dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen Denial of Service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label-spoofing (het mogelijk injecteren van foute labels).
De end-to-end connectie
CommVZ_U.11.1 Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie. Versleuteling wordt toegepast voor het waarborgen van de vertrouwelijkheid
CommVZ_U.11.2 Voor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
  • communicatieprotocollen, die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen, die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst en de integriteit van de ontvangen data.
Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
CommVZ_U.11.3 Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
CommVZ_U.11.4 Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
  • Advanced Encryption Standard (AES);
  • sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware” toepassingen.
Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
CommVZ_U.12.1 Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
  • netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (EAP-TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • integriteitcontrolemechanismen voorkomen Man-in the-Middle attacks;
  • encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast, met backwards compatibility mogelijkheden voor ondersteuning van oudere of minder sterke protocollen;
  • autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van mobiele clients, b.v. via MAC adresfiltering;
  • toegangscontrole van eindgebruikers, b.v. via RBAC;
  • niet toegestane typen netwerkverkeer worden geblokkeerd;
  • niet benodigde functies zijn altijd uitgeschakeld (Hardening);
  • bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching & patchmanagement).
Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
CommVZ_U.13.1 Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten van netwerkverbindingen die worden gebruikt;
  • actuele lijst van toegestane en gebruikte protocollen;
  • actuele lijst van gebruikte netwerktoepassingen;
  • continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • actuele netwerktopologie en daarvoor geldende beveiligingseisen.
Voor de beheersing van netwerken worden minimumeisen
CommVZ_U.13.2 Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd. Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd
CommVZ_U.14.1 Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS). Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd
CommVZ_U.14.2 Alleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x). Alleen specifiek toegestane netwerkdevices worden gekoppeld met aanwezige clients en informatiesystemen
CommVZ_U.15.1 Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • administratie:
    • het continue actualiseren van de netwerktopologie;
    • het beheersen en ‘huishouden’ van netwerkresources en de wijze waarop die beschikbaar zijn gesteld.
  • beschikbaarheidsbeheer;
    • het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg mogelijk worden ontdekt en te verholpen.
  • incident management:
    • het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • technische kwetsbaarheden management:
    • het verzamelen en uitvoeren van securityupgrades, zoals het aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling;
    • het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
Netwerkbeveiligingsbeheer omvat activiteiten methoden procedures en gereedschappen voor administratie
CommVZ_U.15.2 Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
CommVZ_U.16.1 Overtredingen van het actuele netwerkbeleid (afwijkingen van de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.) worden geregistreerd en vastgelegd in auditlogs. Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
CommVZ_U.16.2 Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
CommVZ_U.17.1 De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem. De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
CommVZ_U.17.2 De beveiligingsarchitectuur is gelaagd, zoals:
  • NORANederlandse Overheid ReferentieArchitectuur Beveiliging Metamodel;
  • SABSA®.
De beveiligingsarchitectuur is gelaagd
CommVZ_U.17.3 De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden. De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen