Zonering en filtering

Uit NORA Online
ISOR:Zonering en filtering
Ga naar: navigatie, zoeken
Versie 2.0 van 9 februari 2021 van de BIO Thema-uitwerking Communicatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in pdf-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het positioneren van netwerken in afzonderlijke fysieke ruimten of het segmenteren van netwerken in afzonderlijke beveiligde (logische) domeinen en het reguleren van de toegang van gebruikers tot netwerkvoorzieningen en/of het filteren van informatiestromen met beleidsregels met filters en algoritmen.

Objecttoelichting

Door scheiding aan te brengen in netwerken, ook wel segmentering genoemd, kunnen netwerken worden beheerd, beveiligd en beheerst. Om vervolgens vanuit het ene netwerk naar het andere veilig te kunnen communiceren, zijn gecontroleerde doorgangen nodig. In die doorgangen worden filtermechanismen aangebracht, die alleen die communicatie doorlaat, die vanuit het beleid is toegestaan en waarmee ongeoorloofde toegang wordt voorkomen. De scheiding met gecontroleerde doorgangen heet ‘zonering’.


Criterium

Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen).

Doelstelling

Veilig communiceren vanuit het ene naar het andere netwerk.

Risico

Verspreiding van aanvallen, indringers, ongewenste inhoud, virussen etc. in de organisatie.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 13.1.3

Onderliggende normen

IDConformiteitsindicatorStelling
CVZ_U.06.01 Gescheiden (in domeinen)

Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.

CVZ_U.06.02 Gescheiden (in domeinen)

Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.

CVZ_U.06.03 Gescheiden (in domeinen)

Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router).

CVZ_U.06.04 Gescheiden (in domeinen)

Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen.