Implementatierichtlijn | Beheersmaatregel | Heeft bron | Specificatie bron |
---|
Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5, BIR 11.3.2.a |
Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelen | Authenticatie (beheersmaatregel) | | |
Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken | Identificatie (beheersmaatregel) Authenticatie (beheersmaatregel) Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.c |
Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.a, BIR 11.5.1.c, BIR 11.5.1.d |
Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd worden | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.1.e, BIR 11.5.3.d |
Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerd | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.e |
Werkplek voor telewerken | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.2, BIR 11.4.3 |
Wachtwoorden van functionele accounts worden minder frequent gewijzigd | Authenticatie (beheersmaatregel) | | |
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.h, BIR 11.5.3.g |
Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassing | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.h |
Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.a |
Automatisch aanmelden is niet toegestaan voor interactieve gebruikers | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.1.g |
De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.3.b |
Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.b |
Authenticatie van gebruikers plaats op basis van cryptografische techniek | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 6.2.1.d, BIR 10.8.4 f, BIR 11.4.2 |
Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.b, BIR 11.3.1.f, BIR 11.5.3.e |
Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.f |
Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkers | Authenticatie (beheersmaatregel) | | |
Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatie | Authenticatie (beheersmaatregel) | | |
Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5 |
Wachtwoorden voldoen aan de wachtwoordconventie | Authenticatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.d, BIR 11.3.1.d, BIR 11.5.3.c, BIR 11.3.1.e, BIR 11.5.3.f |
De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatie | Autorisatie (beheersmaatregel) | | |
Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaien | Autorisatie (beheersmaatregel) | | |
Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluiten | Autorisatie (beheersmaatregel) | | |
Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheiden | Autorisatie (beheersmaatregel) | | |
Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomen | Autorisatie (beheersmaatregel) | | |
De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken worden | Autorisatie (beheersmaatregel) | | |
Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.5, BIR 11.5.6.a |
Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4.c, BIR 12.4.1.b |
Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerd | Autorisatie (beheersmaatregel) | | |
De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeld | Autorisatie (beheersmaatregel) | | |
Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.6.c |
Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4e |
Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.a |
Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekend | Autorisatie (beheersmaatregel) | | |
Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligd | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.3.2.c |
In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.b |
Wachtwoorden worden versleuteld over een netwerk verzonden | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.i, BIR 11.5.3.i |
Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.a |
Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspunten | Autorisatie (beheersmaatregel) | | |
De toekenning van rechten aan processen en bestanden is zo minimaal mogelijk | Autorisatie (beheersmaatregel) | | |
Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld | Autorisatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.2.3.g, BIR 11.5.3.i |
Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd | Autorisatie (beheersmaatregel) | | |
Foutbestanden worden niet gebruikt als opslagmechanisme | Beheersing van verwerkingen | | |
Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.h |
Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismen | Beheersing van verwerkingen | | |
De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.1.c, BIR 12.2.2.b, BIR 12.2.2.f, BIR 12.2.2.g |
Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd | Beheersing van verwerkingen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.b, BIR 12.2.2.g |
Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maakt | Beheersing van verwerkingen | | |
Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefouten | Beheersing van verwerkingen | | |
Berichtverwerkende infrastructuur past foutloze berichtenverwerking toe | Beheersing van verwerkingen | | |
Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanisme | Beheersing van verwerkingen | | |
Beheermogelijkheden zijn zoveel mogelijk afgesloten | Beperking van ongebruikte functies (hardening) | | |
Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismen | Beperking van ongebruikte functies (hardening) | | |
Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen | Beperking van ongebruikte functies (hardening) | | |
Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres | Beperking van ongebruikte functies (hardening) | | |
Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeld | Beperking van ongebruikte functies (hardening) | | |
Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.a |
Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.b |
Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd | Beperking van systeemhulpmiddelen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.4.h |
Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingen | Bestandscontrole | | |
Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalen | Bestandscontrole | | |
Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijk | Bestandscontrole | | |
Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfuncties | Controle en signalering | | |
Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatie | Controle en signalering | | |
Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerd | Controle en signalering | | |
Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerd | Controle en signalering | | |
De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM) | Controle en signalering | | |
Er is gespecificeerd welke beveiligingsincidenten kunnen optreden | Controle en signalering | | |
In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkeren | Controle op communicatiegedrag | | |
Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingen | Controle op communicatiegedrag | | |
De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau | Controle op communicatiegedrag | | |
Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd | Controle op gegevensuitwisseling | | |
Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1.d, BIR 10.8.1.b |
Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichten | Controle op gegevensuitwisseling | | |
De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.1.d |
Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1.d |
Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controles | Controle op gegevensuitwisseling | | |
In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast | Controle op gegevensuitwisseling | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.4.1 |
E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage. | Controle op gegevensuitwisseling | | |
Gegevensencryptie | Controles voor risicovolle bedrijfsprocessen | | |
Gegevensrubricering tonen | Controles voor risicovolle bedrijfsprocessen | | |
Aparte applicatietaken | Controles voor risicovolle bedrijfsprocessen | | |
Extra audit trail | Controles voor risicovolle bedrijfsprocessen | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.g |
Controletellingen database | Controles voor risicovolle bedrijfsprocessen | | |
De sleutellengte is instelbaar en voldoende groot | Encryptie | | |
Situaties waarin encrypties dient te worden toegepast | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.6.1.c, BIR 10.9.2.c, BIR 12.2.3, BIR 10.6.1.c, BIR 11.5.3.i |
Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 15.1.6.b |
Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken | Encryptie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 15.1.6.c |
De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekend | Encryptie | | |
Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaarden | Encryptie | | |
Scheiding naar inhoud van gegevens | Functie- en processcheiding | | |
Basisscheidingen (klassieke functiescheiding) | Functie- en processcheiding | | |
Beheer versus gebruik | Functie- en processcheiding | | |
Stamgegevens versus mutaties | Functie- en processcheiding | | |
Scheiden en afhankelijk maken van processtappen | Functie- en processcheiding | | |
Scheiding bij massale invoer | Functie- en processcheiding | | |
Eenduidige mutatieverantwoordelijkheden | Functie- en processcheiding | | |
Aparte taak voor goedkeuren | Functie- en processcheiding | | |
Dezelfde gegevens in meerdere gegevensverzamelingen | Functie- en processcheiding | | |
Scheiding per zaak | Functie- en processcheiding | | |
De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoeren | Geautoriseerde mobiele code | | |
Onweerlegbaarheid juiste ontvanger en verzender | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
Encryptie binnen of ten behoeve van een applicatie | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
Dubbele of ontbrekende bestandsuitwisseling | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
Autorisatiebeheersysteem | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
(Ver)sterkte authenticatie | Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen | | |
Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument. | Handhaven technische functionaliteit | | |
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. | Handhaven technische functionaliteit | | |
Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier. | Handhaven technische functionaliteit | | |
Technische integriteit programmapakketten | Handhaven technische functionaliteit | | |
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen. | Handhaven technische functionaliteit | | |
Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur | Handhaven technische functionaliteit | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.5.3.a, BIR 12.5.3.b, BIR 12.5.3.c, BIR 12.5.3.d |
Instellingen in overeenstemming met inrichtingsdocument | Handhaven technische functionaliteit | | |
Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerking | Herstellen van verwerkingen | | |
De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatie | Herstellen van verwerkingen | | |
Er is voldoende buffering van tussenbestanden bij langere verwerkingsketens | Herstellen van verwerkingen | | |
Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismen | Herstellen van verwerkingen | | |
Voorzieningen op het gebied van automatic fail-over en load balancing | Herstellen van verwerkingen | | |
Afstand tussen locaties | Herstellen van verwerkingen | | |
Routines voor back-up en recovery | Herstellen van verwerkingen | | |
Systeemprocessen draaien onder een eigen gebruikersnaam | Identificatie (beheersmaatregel) | | |
Gebruikersnaam beheer | Identificatie (beheersmaatregel) | | |
Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoond | Identificatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.1.g |
Het gebruik van speciale beheeraccounts is uitgeschakeld | Identificatie (beheersmaatregel) | | |
Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten melden | Identificatie (beheersmaatregel) | | |
Unieke identificatie | Identificatie (beheersmaatregel) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.5.2, BIR 11.5.3.a |
Vrijgesteld van identificatie | Identificatie (beheersmaatregel) | | |
PKI bij een onvertrouwd netwerk | Integriteitscontrole van het bericht Wederzijdse authenticatie | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.9.2.a, BIR 10.9.2.b, BIR 10.9.2.d, BIR 10.9.2.f, BIR 10.8.4.a, BIR 10.8.4.b, BIR 10.8.4.c, BIR 10.8.4.d, BIR 12.2.3 |
Er is een betrouwbare berichtendienst in het besloten netwerkverkeer | Integriteitscontrole van het bericht Wederzijdse authenticatie | | BIR 10.8.4.a, BIR 10.8.4.b, BIR10.8.4.c |
Signaleren invoer | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.e |
Volledigheid (en juistheid) inzending berichten | Invoercontrole | | |
Correctiemogelijkheden | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.c |
Terugmelden omschrijving | Invoercontrole | | |
Vastleggen verwerkingsdatum | Invoercontrole | | |
Volledigheid invoer-volgorde controle | Invoercontrole | | |
Invoer aan de bron | Invoercontrole | | |
Verplichte veldinvulling bij kritische gegevens | Invoercontrole | | |
Onderscheid in invoeren wijzigen en verwijderen | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.a |
Voortgangscontrole | Invoercontrole | | |
Voorinvullen e-formulieren | Invoercontrole | | |
Default waarden | Invoercontrole | | |
Validatie/ bestaanbaarheid/ relatie | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.1.a, BIR 12.2.2.d |
Batch- en hashtotals | Invoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
Terugmelden invoer klantgegevens | Invoercontrole | | |
Controlegetal | Invoercontrole | | |
Weigeren invoer per batch | Invoercontrole | | |
Klant inschakelen | Invoercontrole | | |
Voorkomen dubbele invoer | Invoercontrole | | |
Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissen | Rapportering | | |
Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periode | Rapportering | | |
Handelingen op te nemen in de logging | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.6.1.d, BIR 10.10.1.a-l, BIR 11.5.4.f |
Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatie | Registratie (logging) | | |
De volledigheid van de logging kan worden vastgesteld | Registratie (logging) | | |
In een logregel weg te schrijven informatie | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.4.a, BIR 10.10.4.b, BIR 10.10.4.c, BIR 10.10.4.d |
Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log | Registratie (logging) | | |
Uitsluitend geautoriseerde processen mogen logregels schrijven | Registratie (logging) | | |
Systeemklokken worden tijdens openstelling gesynchroniseerd | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.6 |
Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie | Registratie (logging) | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.10.3.c |
Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers | Registratie (logging) | | |
In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden | Registratie (logging) | | |
Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongen | Registratie (logging) | | |
Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderen | Registratie (logging) | | |
Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen | Registratie (logging) | | |
Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijn | Registratie (logging) | | |
Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologie | Registratie (logging) | | |
Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principe | Sleutelbeheer | | |
Cryptografische sleutels en certificaten kennen een geldigheidstermijn | Sleutelbeheer | | |
Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutels | Sleutelbeheer | | |
Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardware | Sleutelbeheer | | |
Cryptohardware is tamper-resistant | Sleutelbeheer | | |
Maken afdruk van gegevens van een post of zaak | Uitvoercontrole | | |
Volledigheid uitvoerlijsten zelf | Uitvoercontrole | | |
Wettelijke eisen | Uitvoercontrole | | |
Controletellingen batchverwerking | Uitvoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
Afdrukken selectiecriteria bij uitvoerlijsten | Uitvoercontrole | | |
Voldoende mogelijkheden tot informatievoorziening | Uitvoercontrole | | |
Geleidelijsten | Uitvoercontrole | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2.e |
Volledigheid verzending berichten | Uitvoercontrole | | |
Uitvoer alleen van noodzakelijke gegevens | Uitvoercontrole | | |
Volledigheid uitvoer | Uitvoercontrole | | |
Uitwijkcontracten | Vermeervoudiging van systeemfuncties | | |
Dubbele uitvoering van voorzieningen | Vermeervoudiging van systeemfuncties | | |
Fysieke scheiding IT-voorzieningen | Vermeervoudiging van systeemfuncties | | |
IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baseren | Vermeervoudiging van systeemfuncties | | |
Snelle beschikbaarheid van reserve-voorzieningen | Vermeervoudiging van systeemfuncties | | |
Toepassen logistiek model | Verwerkingsbeheersing | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.4.b |
Raadpleegbaarheid audit trail | Verwerkingsbeheersing | | |
Schonen audit trail | Verwerkingsbeheersing | | |
Bewaartermijn audit trail | Verwerkingsbeheersing | | |
Transactionele integriteit in lange ketens van verwerking | Verwerkingsbeheersing | | |
Handmatige bestandscorrecties | Verwerkingsbeheersing | | |
Informatieverstrekking aan derden | Verwerkingsbeheersing | | |
Controletellingen | Verwerkingsbeheersing | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 12.2.2, BIR 12.2.2.a, BIR 12.2.2.b, BIR 12.2.4.b |
Inhoud audit trail | Verwerkingsbeheersing | | |
Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingen | Voorspellen en signaleren van onderbrekingen | | |
Overschrijdingen van drempelwaarden worden doorgegeven aan een Event Console | Voorspellen en signaleren van onderbrekingen | | |
Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resources | Voorspellen en signaleren van onderbrekingen | | |
Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie | Zonering | | |
Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten | Zonering | | |
Een zone heeft een gedefinieerd beveiligingsniveau | Zonering | | |
Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.1.4.b |
Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone | Zonering | | |
De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone | Zonering | | |
De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zone | Zonering | | |
Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt | Zonering | | |
Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak | Zonering | | |
Beheer van zones vindt plaats vanuit een eigen zone | Zonering | | |
In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 10.9.3.d |
Zones kunnen worden onderscheiden door gebruikmaking van | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.7 |
IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerd | Zonering | | |
Elke zone heeft een vastgesteld uniek beveiligingsdoel | Zonering | | |
Vitale bedrijfsgegevens worden in een aparte zone geplaatst | Zonering | | |
Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.4.4 |
Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen | Zonering | BIR (Baseline Informatiebeveiliging Rijksdienst) | BIR 11.6.2 |