Middleware Uitvoering

Exporteer naar RDF

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Deze informatie is onderdeel van BIO Thema-uitwerking Middleware.

Normenkader-aspect
ID:	MDW_U
Versie:	1.0
Status:	Concept
Publicatiedatum:	18-4-2024
Redactionele wijzigingsdatum:	10-4-2024
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:

Meer lezen

→ BIO Thema-uitwerking Middleware

→ Alle normenkaders

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van middleware in het uitvoeringsdomein is het waarborgen dat organisatorische en technische voorzieningen voorhanden zijn om te garanderen dat middlewarefuncties voldoen aan de eisen van beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid.

Risico's[bewerken]

Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat:

onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren;
integriteit van gegevensverwerking geschaad wordt.

Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.

Objecten, controls en maatregelen

Binnen het uitvoeringsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde objecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in afbeelding 8 vermeld. Van de geel gemarkeerde objecten komen de controls uit de BIO.

Overzicht objecten voor middleware in het uitvoeringsdomein

In het uitvoeringsdomein worden controls en maatregelen voor middlewarefunctionaliteiten opgenomen. Hiermee wordt onder andere gerefereerd naar functionaliteiten zoals het opslaan van gegevens (databases of database services, opslag, storage e.d.), het veiligstellen en herstellen van data (back-up en herstel) en de integratie van applicaties met hun omgeving, al dan niet via berichtenverkeer.

Eerst worden de objecten genoemd die voor middleware als geheel van belang zijn en vervolgens enkele specifieke objecten voor opslag en integratieservices.

Principes uit de BIO Thema Middleware binnen dit aspect[bewerken]

ID	Principe	Criterium
MDW_U.01	Richtlijnen en procedures middlewarefunctionaliteit	Richtlijnen en procedures ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben.
MDW_U.02	Rollen en verantwoordelijkheden middlewarefunctionaliteit	Alle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen.
MDW_U.03	Toegang tot middlewarefunctionaliteit	Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst.
MDW_U.04	Hardening middlewarecomponenten	Voor het beveiligen van middlewarecomponenten behoren overbodige functies en ongeoorloofde toegang te worden uitgeschakeld.
MDW_U.05	Configuratie middlewarecomponenten	De leverancier heeft conform richtlijnen en procedures de middlewarecomponenten geconfigureerd.
MDW_U.06	Logging en monitoring middleware	Middleware biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.
MDW_U.07	Ontwerpdocumentatie	Het ontwerp van middleware behoort te zijn gedocumenteerd.
MDW_U.08	Vertrouwelijkheid en integriteit data	Gevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld.
MDW_U.09	Betrouwbare dataopslag	Opslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
MDW_U.10	Dataherstel	Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.
MDW_U.11	Schonen data en media	Media behoren op een veilige en beveiligde manier te worden verwijderd en geschoond als ze niet langer nodig zijn, overeenkomstig formele procedures.
MDW_U.12	Beveiliging berichtenverkeer	Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.
MDW_U.13	Capaciteitsbeheer	Het gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.

Normen uit de BIO Thema Middleware binnen dit aspect[bewerken]