Middleware Uitvoering
Deze informatie is onderdeel van BIO Thema-uitwerking Middleware.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van middleware in het uitvoeringsdomein is het waarborgen dat organisatorische en technische voorzieningen voorhanden zijn om te garanderen dat middlewarefuncties voldoen aan de eisen van beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid.
Risico's[bewerken]
Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat:
- onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren;
- integriteit van gegevensverwerking geschaad wordt.
Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.
Objecten, controls en maatregelen
Binnen het uitvoeringsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde objecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in afbeelding 8 vermeld. Van de geel gemarkeerde objecten komen de controls uit de BIO.
In het uitvoeringsdomein worden controls en maatregelen voor middlewarefunctionaliteiten opgenomen. Hiermee wordt onder andere gerefereerd naar functionaliteiten zoals het opslaan van gegevens (databases of database services, opslag, storage e.d.), het veiligstellen en herstellen van data (back-up en herstel) en de integratie van applicaties met hun omgeving, al dan niet via berichtenverkeer.
Eerst worden de objecten genoemd die voor middleware als geheel van belang zijn en vervolgens enkele specifieke objecten voor opslag en integratieservices.
Principes uit de BIO Thema Middleware binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
MDW_U.01 | Richtlijnen en procedures middlewarefunctionaliteit | Richtlijnen en procedures ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben. |
MDW_U.02 | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Alle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen. |
MDW_U.03 | Toegang tot middlewarefunctionaliteit | Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst. |
MDW_U.04 | Hardening middlewarecomponenten | Voor het beveiligen van middlewarecomponenten behoren overbodige functies en ongeoorloofde toegang te worden uitgeschakeld. |
MDW_U.05 | Configuratie middlewarecomponenten | De leverancier heeft conform richtlijnen en procedures de middlewarecomponenten geconfigureerd. |
MDW_U.06 | Logging en monitoring middleware | Middleware biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht. |
MDW_U.07 | Ontwerpdocumentatie | Het ontwerp van middleware behoort te zijn gedocumenteerd. |
MDW_U.08 | Vertrouwelijkheid en integriteit data | Gevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld. |
MDW_U.09 | Betrouwbare dataopslag | Opslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. |
MDW_U.10 | Dataherstel | Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. |
MDW_U.11 | Schonen data en media | Media behoren op een veilige en beveiligde manier te worden verwijderd en geschoond als ze niet langer nodig zijn, overeenkomstig formele procedures. |
MDW_U.12 | Beveiliging berichtenverkeer | Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. |
MDW_U.13 | Capaciteitsbeheer | Het gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. |
Normen uit de BIO Thema Middleware binnen dit aspect[bewerken]