Communicatievoorzieningen Uitvoering

Uit NORA Online
ISOR:BIO Thema Communicatievoorzieningen Uitvoering
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van BIO Thema-uitwerking Communicatievoorzieningen.

Meer lezen

BIO Thema-uitwerking Communicatievoorzieningen
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Objecten, controls en maatregelen

Per object zijn hierna de maatregelen uitgewerkt die risico’s kunnen reduceren. Voor de implementatie wordt verwezen naar de zes uitvoeringskaders van de ISO 27033 en het Nederlandse Overheid Referentie Architectuur (NORANederlandse Overheid Referentie Architectuur)-thema Beveiliging.

In de onderstaande afbeelding zijn de essentiële objecten voor communicatievoorzieningen weergegeven in de kolommen: Intentie, Functie, Gedrag en Structuur. Voor de wit ingekleurde objecten heeft de Baseline Informatiebeveiliging Overheid (BIO) geen control gedefinieerd. Deze objecten zijn voor een groot deel afkomstig uit de ISO 27033 deel 1 t/m 6.


”Onderwerpen die binnen het Uitvoering domein een rol spelen”
Onderwerpen die binnen het Uitvoering domein een rol spelen


Risico

De belangrijkste risico’s van netwerk(diensten) zijn:

  • negatieve beïnvloeding van beveiligingsniveaus door koppeling van netwerken;
  • illegaal gebruik;
  • onderbrekingen;
  • afluistering van getransporteerde data;
  • kwetsbaarheden in uitvoerbare code;
  • fysieke of logische inbreuk op netwerkelementen.

Doelstelling

Het doel van het uitvoeringsdomein is te waarborgen dat de netwerkinfrastructuur is ingericht conform specifieke beleidsuitgangspunten en dat aan de eisen ten aanzien van de beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en controleerbaarheid bij het ontwerp en implementatie is voldaan.

Principes uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDPrincipeCriterium
CVZ_U.01Richtlijnen netwerkbeveiligingOrganisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer .
CVZ_U.02Beveiligde inlogprocedureIndien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.
CVZ_U.03Netwerk beveiligingsbeheerNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
CVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomstEisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
CVZ_U.05Beveiliging netwerkdienstenBeveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
CVZ_U.06Zonering en filteringGroepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).
CVZ_U.07Elektronische berichtenInformatieBetekenisvolle gegevens. die is opgenomen in elektronische berichten behoort passend te zijn beschermd.
CVZ_U.08Toepassingen via openbare netwerkenInformatieBetekenisvolle gegevens. die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
CVZ_U.09Gateway/FirewallDe filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten.
CVZ_U.10Virtual Private Networks (VPN)Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt.
CVZ_U.11Cryptografische ServicesTer bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
CVZ_U.12Draadloze toegangDraadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van gebruikers en versleuteling van de communicatie.
CVZ_U.13NetwerkconnectiesAlle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
CVZ_U.14NetwerkauthenticatieAuthenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen.
CVZ_U.15NetwerkbeheeractiviteitenNetwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
CVZ_U.16Vastleggen en monitoring van netwerkgebeurtenissen (events)Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s).
CVZ_U.17NetwerkbeveiligingsarchitectuurDe beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden.

Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect

IDStellingNorm
CVZ_U.01.01De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van middelen (assets);
  • inventarisatie van functionele eisen;
  • beoordeling van functionele eisen in de context van het beoogd gebruik;
  • evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
  • evaluatie van bestaande ontwerpen en implementaties.
Stappen ter voorbereiding van veilige netwerkontwerpen
CVZ_U.01.02Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen.Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
CVZ_U.01.03Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C).Netwerkbeveiliging is gebaseerd op ITU-T X.80x
CVZ_U.01.04Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
CVZ_U.01.05De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012.De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
CVZ_U.01.06Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden.Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
CVZ_U.02.01Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
CVZ_U.02.02Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie.Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
CVZ_U.02.03Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
  1. Remote login

Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.

  1. Versterkte authenticatie

Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.

  1. Single Sign-On
Voor situaties waarbij netwerken worden geacht authenticatie-checks uit te voeren voor verschillende toepassingen.
Toegang tot netwerken is beperkt tot geautoriseerde gebruikers
CVZ_U.03.01Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
CVZ_U.03.02Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
CVZ_U.03.03Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.Beheeractiviteiten worden nauwgezet gecoördineerd
CVZ_U.03.04Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld.Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
CVZ_U.03.05De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden.De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
CVZ_U.03.06Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
CVZ_U.04.01Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
  • de looptijd van een overeenkomst;
  • de benodigde acties bij beëindiging;
  • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  • hoe het eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  • de acties in geval van schending van de overeenkomst;
  • de privacyregelgeving (Algemene Verordening Gegevensbescherming (AVG) en Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)).
Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
CVZ_U.05.01Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau Verbindingsveiligheid (NBV) een positief inzetadvies heeft afgegeven.Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
CVZ_U.05.02De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
CVZ_U.05.03Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
  • Applicatieniveau
  • Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.

    • Transportniveau

    Voor veilige point to point-verbindingen: encryptie.

    • Netwerkniveau
    Voor veilige communicatie tussen devices, encryptie, firewalls en netwerkverbindingen: Virtual Private Network (VPN).
    Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
    CVZ_U.05.04Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • de vereiste performance en beschikbaarheid van het netwerk;
    • de toegestane verbindingstypen;
    • de toegestane netwerkprotocollen;
    • de toegepaste applicaties op de te leveren netwerkservices;
    • de beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd
    CVZ_U.05.05Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
    CVZ_U.05.06Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cybersecurity Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
    CVZ_U.06.01Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
    CVZ_U.06.02Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
    CVZ_U.06.03Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router).Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
    CVZ_U.06.04Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen.Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
    CVZ_U.07.01Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie.Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
    CVZ_U.07.02Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling.Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
    CVZ_U.07.03Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
    CVZ_U.07.04Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie).Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
    CVZ_U.07.05Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • de berichten te beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening met het classificatieschema van de organisatie;
  • een correcte adressering en het transport van het bericht waarborgen;
  • de herstelbaarheid van onderbroken communicatie en de beschikbaarheid van de dienst;
  • de wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • het toestemming verkrijgen van het verantwoordelijke management en de gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of het delen van bestanden;
  • de 2-factorauthenticatie voor de toegang vanuit de openbaar toegankelijke netwerken.
  • Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
    CVZ_U.08.01Met de communicerende partijen worden afspraken gemaakt over:
  • de wederzijdse authenticatie;
  • de bevoegdheden voor het gebruik van de dienst;
  • de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en de onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van de ontvangst;
  • een passende verificatie voor de controle van de transactie.
  • Met communicerende partijen worden afspraken gemaakt
    CVZ_U.09.01Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Voor elke gateway of firewall bestaat een actueel configuratiedocument
    CVZ_U.09.02De filterfunctie van gateways en firewalls zijn instelbaar.De filterfunctie van gateways en firewalls is instelbaar
    CVZ_U.09.03Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM).Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
    CVZ_U.09.04Uitsluitend toegestaan netwerkverkeer wordt doorgelaten.Uitsluitend toegestaan netwerkverkeer wordt doorgelaten
    CVZ_U.10.01De end-to-end-connectie:
  • wordt gecreëerd door scheiding van de adresseringsruimte en routeringen tussen Virtual Private Network (VPN’s) over het onderliggende netwerk;
  • geeft garanties dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen denial of service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label spoofing (het mogelijk injecteren van foute labels).
  • De end-to-end
    CVZ_U.11.01Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie.Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
    CVZ_U.11.02Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
  • communicatieprotocollen die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van de ontvangst en de integriteit van de ontvangen data.
  • Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
    CVZ_U.11.03Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie.Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
    CVZ_U.11.04Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
  • Advanced Encryption Standard (AES);
  • Sleutellengte 128 bit voor ‘lichte’ en 192 of 256 bits voor ‘zware’ toepassingen.
  • Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
    CVZ_U.12.01Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
  • Netwerktoegangscontrole (Institute of Electrical and Electronics Engineers (IEEE) 802.1x) en apparaat-authenticatie (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • Integriteitcontrolemechanismen voorkomen man-in-the-middle attacks.
  • Encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast met backwards- compatibility-mogelijkheden voor de ondersteuning van oudere of minder sterke protocollen.
  • Autorisatie van mobiele clients, bijvoorbeeld via Media Access Control (MAC)-adresfiltering.
  • Toegangscontrole van eindgebruikers, bijvoorbeeld via Role Based Access Control (RBAC).
  • Niet toegestane typen netwerkverkeer worden geblokkeerd.
  • Niet benodigde functies zijn altijd uitgeschakeld (hardening).
  • Bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching en patchmanagement).
  • Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
    CVZ_U.13.01Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten netwerkverbindingen die worden gebruikt;
  • een actuele lijst van toegestane en gebruikte protocollen;
  • een actuele lijst van gebruikte netwerktoepassingen;
  • een continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • een actuele netwerktopologie en daarvoor geldende beveiligingseisen.
  • Voor de beheersing van netwerken worden minimumeisen
    CVZ_U.13.02Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd.Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
    CVZ_U.14.01Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerk-device gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)).Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd
    CVZ_U.14.02Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x).Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
    CVZ_U.15.01Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • Administratie:
    • Het continue actualiseren van de netwerktopologie.
    • Het beheersen en ‘huishouden’ van netwerk-resources en de wijze waarop die beschikbaar zijn gesteld.
  • Beschikbaarheidsbeheer:
    • Het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, zodat onderbrekingen zo vroeg mogelijk worden ontdekt en verholpen.
  • Incidentmanagement:
    • Het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • Technische kwetsbaarhedenmanagement:
    • Het verzamelen en uitvoeren van beveiligingsupgrades, zoals het aanbrengen van patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling.
    • Het verhelpen van fysieke kwetsbaarheden in het netwerk zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
  • Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
    CVZ_U.15.02Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
    CVZ_U.16.01Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs.Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
    CVZ_U.16.02Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
    CVZ_U.17.01De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem.De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
    CVZ_U.17.02De beveiligingsarchitectuur is gelaagd, zoals:
  • het Nederlandse Overheid Referentie Architectuur (NORANederlandse Overheid Referentie Architectuur)-beveiligingsmetamodel;
  • SABSA®.
  • De beveiligingsarchitectuur is gelaagd
    CVZ_U.17.03De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden.De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden