Huisvesting Informatievoorziening Uitvoeringsdomein

Uit NORA Online
ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering
Ga naar: navigatie, zoeken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Deze informatie is onderdeel van BIO Thema Huisvesting Informatievoorziening.

Meer lezen

BIO Thema Huisvesting Informatievoorziening
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

Binnen het Uitvoeringsdomein zijn specifieke inrichting- en beveiligingsobjecten ten aanzien van Huisvesting Informatievoorziening beschreven en per object zijn conformiteitsindicatoren uitgewerkten. Deze conformiteitindicatoren representeren een vast te stellen set van implementatie-elementen (maatregelen).

Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

”Onderwerpen die binnen het Uitvoeringsdomein een rol spelen”
Onderwerpen die binnen het Uitvoeringsdomein een rol spelen


Nr Objecten Referentie
U.01 Richtlijnen gebieden en ruimten 27002:11.1.5
U.02 Bedrijfsmiddelen inventaris 27002:8.1.1
U.03 Fysieke zonering 27002:11.1.1
U.04 Beveiligingsfaciliteiten ruimten 27002:11.1.3
U.05 Nutsvoorzieningen 27002:11.2.2
U.06 Apparatuur positionering 27002:11.2.1
U.07 Apparatuur onderhoud 27002:11.2.4
U.08 Apparatuur verwijdering 127002:1.2.7
U.09 Bedrijfsmiddelen verwijdering 27002:11.2.5
U.10 Laad-en los locatie 27002:11.1.6
U.11 Bekabeling 27002:11.2.3
TABELNAAM

Risico

Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van rekencentra niet wordt gerealiseerd, dan ontstaan continuïteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en integriteitsrisico's, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.

Doelstelling

Het doel van het uitvoeringsdomein voor Huisvesting Informatievoorziening is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de Huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDprincipeCriterium
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03Fysieke zoneringFysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten moeten faciliteiten worden ontworpen en zijn toegepast.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06Apparatuur positioneringApparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

IDStellingNorm
Huisv_U.01.01Personeel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
Huisv_U.01.02Zonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.In beveiligde gebieden wordt slechts onder toezicht gewerkt
Huisv_U.01.03Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
Huisv_U.01.04Tenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
Huisv_U.01.05Bezoekers van kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden continu aan toezicht onderworpen;
  • worden gemonitord bij aankomst en vertrek;
  • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
  • Wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
  • dragen verplicht een badge.
Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
Huisv_U.02.01Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie geïdentificeerd (zie 8.2).Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
Huisv_U.02.02De Huisvesting Informatievoorziening organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting Informatievoorziening relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
  • de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
    Huisv_U.02.03De inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel, consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
    Huisv_U.02.04De Huisvesting Informatievoorziening organisatie heeft inventarisoverzichten:
  • deze inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • deze inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
    Huisv_U.03.01Voor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:

    @ het Kader Rijkstoegangsbeleid (2010); @ het Normenkader Beveiliging Rijkskantoren (NkBR 2015);

    @ het Beveiligingsvoorschrift Rijk (BVR 2013).
    Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
    Huisv_U.03.02Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
    Huisv_U.03.03Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
    Huisv_U.03.04Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen.Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
    Huisv_U.03.05Van elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord.Van elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord
    Huisv_U.04.01Belangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn.Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
    Huisv_U.04.02Faciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
    Huisv_U.04.03Adresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., zijn niet vrij toegankelijk voor onbevoegden.Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
    Huisv_U.04.04Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).Sleutelbeheer is ingericht op basis van een sleutelplan
    Huisv_U.05.01Nutsvoorzieningen:
    • zijn in overeenstemming met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
    • worden regelmatig onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
    • worden regelmatig geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
    • worden zo nodig voorzien van een alarmsysteem om disfunctioneren op te sporen;
    • beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.
    De nutsvoorzieningen
    Huisv_U.05.02Noodverlichting en (nood)communicatiemiddelen zijn aanwezig.Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
    Huisv_U.05.03Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
    Huisv_U.05.04Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder..Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
    Huisv_U.06.01Apparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd..Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
    Huisv_U.06.02Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische straling) van buitenaf.Apparatuur wordt beschermd tegen externe bedreigingen
    Huisv_U.07.01Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
    Huisv_U.07.02Alleen bevoegd onderhoudspersoneel mag reparaties en onderhoudsbeurten aan apparatuur uitvoeren.Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
    Huisv_U.07.03Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is (R).Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
    Huisv_U.07.04Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden.Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
    Huisv_U.07.05Aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan.Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
    Huisv_U.07.06Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert.Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
    Huisv_U.08.01Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat.Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
    Huisv_U.08.02Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
  • Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
    Huisv_U.09.01In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
    Huisv_U.09.02Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd.Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
    Huisv_U.09.03Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht.Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
    Huisv_U.09.04Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
    Huisv_U.09.05De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd.Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
    Huisv_U.10.01Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R).Een procedure beschrijft het omgaan met verdachte brieven en pakketten
    Huisv_U.10.02Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel.Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
    Huisv_U.10.03De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Eisen aan de laad- en loslocatie
    Huisv_U.10.04De buitendeuren van een laad- en loslocatie moeten beveiligd zijn (gesloten) als de binnendeuren open zijn.De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
    Huisv_U.10.05Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer.Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
    Huisv_U.10.06Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden.Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
    Huisv_U.10.07Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld.Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
    Huisv_U.11.01Kabels worden bij voorkeur ondergronds aangelegd.Kabels worden bij voorkeur ondergronds aangelegd
    Huisv_U.11.02De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
  • De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
    Huisv_U.11.03Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
    Huisv_U.12.01De aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden.De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
    Huisv_U.12.02De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd.De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
    Huisv_U.12.03Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Aan het architectuurdocument gestelde eisen