Cryptografische services

Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CVZ_U.10
Versie:	2.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Objectdefinitie

IT-services voor de versleuteling van het netwerkverkeer, die op meerdere lagen van het Open Systems Interconnection (OSI)-model kunnen voorkomen.

Objecttoelichting

Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor de versleuteling van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en netwerkconnecties. Cryptografische services voor de communicatie met partners en burgers maken gebruik van Public-Key-Infrastructure (PKI)-middelen, zoals de aan certificaten gebonden private en publieke sleutels.

De ISO 27002 2022 normeert het beleid voor cryptografie en sleutelbeheer. Het NCSC en de Unit Weerbaarheid van het NBV van de AIVD adviseert passende beheersmaatregelen.

Criterium

Ter bescherming van de vertrouwelijkheid en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.

Doelstelling

Het behouden van de vertrouwelijkheid en integriteit van de getransporteerde informatie.

Risico

Het openbaar worden van vertrouwelijke informatie en/of het corrumperen van informatie door kwaadwillenden.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.24

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CVZ_U.10.01	Vertrouwelijkheid	Vanwege de vertrouwelijkheid van de communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (OSI-laag 1 t/m 7). PKI faciliteert deze functie.
CVZ_U.10.02	Integriteit	Vanwege de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn: communicatieprotocollen die de ontvangst onweerlegbaar maken; applicatieprotocollen die de signatuur van de zender gebruiken voor onweerlegbaarheid van de ontvangst en de integriteit van de data.
CVZ_U.10.03	Cryptografische beheersmaatregelen	Cryptografische beheersmaatregelen zijn opgenomen in de inventaris van de bedrijfsmiddelen. Voor alle cryptografische beheersmaatregelen is vastgesteld waar ze worden ingezet, wie ervoor verantwoordelijk is en hoe ze actueel worden gehouden.
CVZ_U.10.04	Beheersmaatregelen	De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van het NBV van de AIVD.
CVZ_U.10.05	Cryptografische beheersmaatregelen	Er zijn afspraken over reservecertificaten van een alternatieve leverancier als uit de risicoafweging blijkt dat deze noodzakelijk zijn als onderdeel van gereedheid voor bedrijfscontinuïteit.