Huisvesting Informatievoorzieningen Uitvoering

Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.

Normenkader-aspect
ID:	HVI_U
Versie:	2.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	25-1-2021
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	30-3-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:

Meer lezen

→ BIO Thema-uitwerking Huisvesting Informatievoorzieningen

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Objecten, controls en maatregelen

Binnen het uitvoeringsdomein zijn specifieke inrichtings- en beveiligingsobjecten voor huisvesting IV beschreven. Per object zijn de conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt. De onderwerpen die uit de Baseline Informatiebeveiliging Overheid (BIO) binnen dit domein een rol spelen zijn huisvesting IV, inrichting en dienstverlening. Onderstaande afbeelding 7 toont het resultaat van de SIVA-methodiek voor relevante objecten voor huisvesting IV. De wit ingekleurde objecten ontbreken als control in de BIO maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.

Afbeelding 7: Overzicht huisvesting IV-objecten in het uitvoeringsdomein

Risico

Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.

Doelstelling

Het doel van het uitvoeringsdomein voor Huisvesting IV is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.

Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

ID	Principe	Criterium
HVI_U.01	Richtlijnen gebieden en ruimten	Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
HVI_U.02	Bedrijfsmiddelen-inventaris	Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
HVI_U.03	Fysieke zonering	Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
HVI_U.04	Beveiligingsfaciliteiten	Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast.
HVI_U.05	Nutsvoorzieningen	Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
HVI_U.06	Apparatuur-positionering	Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
HVI_U.07	Apparatuur-onderhoud	Apparatuur behoort op een correcte wijze te worden onderhouden.
HVI_U.08	Apparatuur-verwijdering	Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
HVI_U.09	Bedrijfsmiddelenverwijdering	Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.
HVI_U.10	Laad en los locatie	Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.
HVI_U.11	Bekabeling	Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.
HVI_U.12	Huisvesting IV-architectuur	Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.

Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect

ID	Stelling	Norm
HVI_U.01.01	Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied.	Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
HVI_U.01.02	Zonder toezicht wordt niet gewerkt in de beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.	In beveiligde gebieden wordt slechts onder toezicht gewerkt
HVI_U.01.03	Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn.	Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
HVI_U.01.04	Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.	Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
HVI_U.01.05	Bezoekers van kritieke faciliteiten: worden slechts toegang geboden voor vastgestelde doeleinden; worden continu aan toezicht onderworpen; worden gemonitord bij aankomst en vertrek; krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels; wordt verteld dat het gebruik van beeld- en geluidopnamemateriaal/apparatuur niet is toegestaan; dragen verplicht een badge.	Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
HVI_U.02.01	Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002).	Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
HVI_U.02.02	De huisvesting IV-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij: de levenscyclus van informatie (aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat; de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.	Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
HVI_U.02.03	De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten.	Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
HVI_U.02.04	De huisvesting IV-organisatie heeft inventarisoverzichten, waarvoor geldt: inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt; inventarisoverzichten kunnen vereist zijn voor: financieel (beheer van bedrijfsmiddelen), verzekeringen, gezondheid en veiligheidsredenen e.d.	Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
HVI_U.03.01	Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden: Kader Rijkstoegangsbeleid 2010 Normenkader Beveiliging Rijkskantoren (NkBR) 2016 Beveiligingsvoorschrift Rijksdienst (BVR) 2013	Voorschriften voor het inrichten van beveiligde zones
HVI_U.03.02	Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.	Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen
HVI_U.03.03	Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.	Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
HVI_U.03.04	Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen.	Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
HVI_U.03.05	Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd.	Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd
HVI_U.04.01	Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn.	Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
HVI_U.04.02	Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.	Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
HVI_U.04.03	Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.	Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
HVI_U.04.04	Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4).	Sleutelbeheer is ingericht op basis van een sleutelplan
HVI_U.05.01	Nutsvoorzieningen: zijn conform de technische beschrijving van de fabrikant en de lokale wettelijke eisen; worden regelmatig onderzocht, om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen; worden regelmatig geïnspecteerd en getest, om te waarborgen dat ze correct functioneren; zijn zo nodig voorzien van een alarmsysteem, om disfunctioneren op te sporen; beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.	De nutsvoorzieningen
HVI_U.05.02	Noodverlichting en (nood)communicatiemiddelen zijn aanwezig.	Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
HVI_U.05.03	Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.	Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
HVI_U.05.04	Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder.	Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
HVI_U.06.01	Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens.	Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
HVI_U.06.02	Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf.	Apparatuur wordt beschermd tegen externe bedreigingen
HVI_U.07.01	Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.	Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
HVI_U.07.02	Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel.	Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel
HVI_U.07.03	Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is.	Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
HVI_U.07.04	Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.	Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
HVI_U.07.05	Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd.	Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
HVI_U.07.06	Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert.	Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
HVI_U.08.01	Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat.	Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
HVI_U.08.02	Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen: Inleveren Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. Verwijderen De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data meer op het apparaat aanwezig of toegankelijk is. Vernietigen Als verwijdering niet mogelijk is, wordt de data vernietigd. Afvoeren De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.	Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
HVI_U.09.01	In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.	Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
HVI_U.09.02	Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd.	Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
HVI_U.09.03	Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht.	Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
HVI_U.09.04	Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.	Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
HVI_U.09.05	De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd.	Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
HVI_U.10.01	Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten.	Een procedure beschrijft het omgaan met verdachte brieven en pakketten
HVI_U.10.02	Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel.	Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
HVI_U.10.03	De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.	Eisen aan de laad- en loslocatie
HVI_U.10.04	De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn.	De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
HVI_U.10.05	Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer.	Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
HVI_U.10.06	Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden.	Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
HVI_U.10.07	Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld.	Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
HVI_U.11.01	Kabels worden bij voorkeur ondergronds aangelegd.	Kabels worden bij voorkeur ondergronds aangelegd
HVI_U.11.02	Huisvesting IV is ingericht met de volgende best practices: TIA-942: Telecommunication Infrastructure Standard for Data Centers NEN-EN 50600: Europese normenreeks voor datacenters NPR 5313: Richtlijn voor datacenters (2014)	De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
HVI_U.11.03	Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.	Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
HVI_U.12.01	De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting IV worden actief onderhouden.	De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
HVI_U.12.02	De inrichting van huisvesting IV en bekabelingen zijn gedocumenteerd.	De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
HVI_U.12.03	Het document met de inrichting van huisvesting IV en de bekabeling: heeft een eigenaar; is voorzien van een datum en versienummer; bevat een documenthistorie (wat is wanneer en door wie aangepast); is actueel, juist en volledig; is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.	Aan het architectuurdocument gestelde eisen