Elektronische berichten

Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CVZ_U.07
Versie:	2.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Objectdefinitie

Geautomatiseerd of via een gebruikersinteractie elektronisch uitwisselen van informatie.

Objecttoelichting

Beveiliging van elektronisch berichtenverkeer omvat bijvoorbeeld e-mail, webverkeer, chatsessies en streaming van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreffen:

een correcte adressering;
een geautoriseerde toegang;
een integer datatransport;
het toereikend zijn van de beschikbaarheid;
het voldoen aan (wettelijke) bepalingen voor de elektronische handtekening en onweerlegbaarheid.

Criterium

Er behoren regels, procedures of overeenkomsten voor informatieoverdracht te zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.

Doelstelling

Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe belanghebbende.

Risico

Het aantasten van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 5.14

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CVZ_U.07.01	Informatieoverdracht	Internetfacing-informatiesystemen en e-mail-berichtenverkeer blijven voldoen aan de verplichte beveiligingsstandaarden, zie hiervoor de website van het Forum Standaardisatie en het Cyberbeveiligingsbesluit. Hierop wordt gestuurd met de metingen van internet.nl. Daarbij dienen alle onderdelen te worden ingesteld zodat een optimale beveiliging wordt bereikt zonder afbreuk te doen aan de functionaliteit van de geboden dienst.
CVZ_U.07.02	Informatieoverdracht	De entiteit maakt bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten. De entiteit maakt bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten vloeien voort uit een risicoanalyse, aansluitvoorwaarden of wetgeving.
CVZ_U.07.03	Informatieoverdracht	Geavanceerde en/of gekwalificeerde elektronische handtekeningen voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie.
CVZ_U.07.04	Informatieoverdracht	Van alle internetfacing-informatiesystemen, webapplicaties, IP-adressen en API’s is er een actuele registratie.
CVZ_U.07.05	Informatieoverdracht	Publiek toegankelijke websites worden bekend gemaakt via het Register Internetdomeinen Overheid (RIO). Deze informatie wordt ten minste iedere zes maanden geactualiseerd.
CVZ_U.07.06	Informatieoverdracht	In het beleid, de procedures en overeenkomsten met betrekking tot elektronisch transport van informatie zijn onder meer de volgende regels opgenomen: bescherming tegen malware die via elektronische communicatie kan worden verspreid; beveiliging van gevoelige informatie die als bijlage wordt verzonden; het voorkomen van het versturen van documenten en berichten naar onjuiste adressen of nummers; voorafgaande toestemming voor het gebruik van externe openbare communicatiediensten (zoals instant messaging, sociale netwerken, file sharing en cloudopslag); toepassing van sterkere authenticatie bij het verzenden van informatie via openbaar toegankelijke netwerken; beperkingen op het gebruik van elektronische communicatiefaciliteiten (bijvoorbeeld het automatisch doorsturen van e-mail naar externe adressen); het advies aan personeel en andere belanghebbenden om geen essentiële of gevoelige informatie via sms of andere instant messaging-diensten te verzenden.