Middleware Uitvoering

Uit NORA Online
ISOR:BIO Thema Middleware Uitvoering
Naar navigatie springen Naar zoeken springen
BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.
Deze informatie is onderdeel van BIO Thema-uitwerking Middleware.

Meer lezen

BIO Thema-uitwerking Middleware
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR (Information Security Object Repository)

Doelstelling[bewerken]

De doelstelling van middleware in het uitvoeringsdomein is het waarborgen dat organisatorische en technische voorzieningen voorhanden zijn om te garanderen dat middlewarefuncties voldoen aan de eisen van beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid.

Risico's[bewerken]

Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat:

  • onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren;
  • integriteit van gegevensverwerking geschaad wordt.

Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.

Objecten, controls en maatregelen

Binnen het uitvoeringsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde objecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in afbeelding 8 vermeld. Van de geel gemarkeerde objecten komen de controls uit de BIO.

”Overzicht objecten voor ​middleware​ in het uitvoeringsdomein”
Overzicht objecten voor ​middleware​ in het uitvoeringsdomein

In het uitvoeringsdomein worden controls en maatregelen voor middlewarefunctionaliteiten opgenomen. Hiermee wordt onder andere gerefereerd naar functionaliteiten zoals het opslaan van gegevens (databases of database services, opslag, storage e.d.), het veiligstellen en herstellen van data (back-up en herstel) en de integratie van applicaties met hun omgeving, al dan niet via berichtenverkeer.

Eerst worden de objecten genoemd die voor middleware als geheel van belang zijn en vervolgens enkele specifieke objecten voor opslag en integratieservices.

Principes uit de BIO Thema Middleware binnen dit aspect[bewerken]

IDPrincipeCriterium
MDW_U.01Richtlijnen en procedures middlewarefunctionaliteit​Richtlijnen en procedures ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben.
MDW_U.02Rollen en verantwoordelijkheden middlewarefunctionaliteitAlle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen.
MDW_U.03Toegang tot middlewarefunctionaliteit​Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst.
MDW_U.04Hardening middlewarecomponenten​Voor het beveiligen van middlewarecomponenten behoren overbodige functies en ongeoorloofde toegang te worden uitgeschakeld.
MDW_U.05Configuratie middlewarecomponentenDe leverancier heeft conform richtlijnen en procedures de middlewarecomponenten geconfigureerd.
MDW_U.06Logging en monitoring middlewareMiddleware biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht.
MDW_U.07OntwerpdocumentatieHet ontwerp van middleware behoort te zijn gedocumenteerd.
MDW_U.08Vertrouwelijkheid en integriteit dataGevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld.
MDW_U.09Betrouwbare dataopslagOpslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
MDW_U.10DataherstelRegelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.
MDW_U.11Schonen data en mediaMedia behoren op een veilige en beveiligde manier te worden verwijderd en geschoond als ze niet langer nodig zijn, overeenkomstig formele procedures.
MDW_U.12Beveiliging berichtenverkeerInformatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.
MDW_U.13CapaciteitsbeheerHet gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.

Normen uit de BIO Thema Middleware binnen dit aspect[bewerken]