Implementatierichtlijnen

Uit NORA Online
Ga naar: navigatie, zoeken
Implementatierichtlijn.png

Implementatierichtlijnen

Een implementatierichtlijn is een verbijzondering van een (ArchiMate) eis (requirement). Implementatierichtlijnen expliciteren beheersmaatregelen. Zij fungeren als ontwerp- en toetsingsnorm en zijn het meest concrete abstractieniveau in het katern Beveiliging, op het grensvlak van ‘WAT’ en ‘HOE’ van normenkaders.

Implementatierichtlijnen kunnen worden gevonden op de pagina van de beheersmaatregel die zij expliciteren en zijn gebaseerd op bronnen zoals de BIR (Baseline Informatiebeveiliging Rijksdienst).

ImplementatierichtlijnBeheersmaatregelHeeft bronSpecificatie bron
Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmeldingAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.a, BIR 11.5.1.c, BIR 11.5.1.d
Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerdAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.e
De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.b
Werkplek voor telewerkenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.2, BIR 11.4.3
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoordAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.h, BIR 11.5.3.g
Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigdAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.b, BIR 11.3.1.f, BIR 11.5.3.e
Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassingAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.h
Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoordenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.a
Automatisch aanmelden is niet toegestaan voor interactieve gebruikersAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.1.g
Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoondAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.b
Wachtwoorden voldoen aan de wachtwoordconventieAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.d, BIR 11.3.1.d, BIR 11.5.3.c, BIR 11.3.1.e, BIR 11.5.3.f
Authenticatie van gebruikers plaats op basis van cryptografische techniekAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 6.2.1.d, BIR 10.8.4 f, BIR 11.4.2
Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerkenIdentificatie (beheersmaatregel)
Authenticatie (beheersmaatregel)
Autorisatie (beheersmaatregel)
BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.c
Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteldAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.f
Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkersAuthenticatie (beheersmaatregel)
Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd wordenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.1.e, BIR 11.5.3.d
Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatieAuthenticatie (beheersmaatregel)
Netwerksessies worden na een vastgestelde periode van inactiviteit afgeslotenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5
Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuurAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5, BIR 11.3.2.a
Wachtwoorden van functionele accounts worden minder frequent gewijzigdAuthenticatie (beheersmaatregel)
Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelenAuthenticatie (beheersmaatregel)
Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerdAutorisatie (beheersmaatregel)
De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeldAutorisatie (beheersmaatregel)
Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaienAutorisatie (beheersmaatregel)
Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleidAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.6.c
Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4e
Gebruikers krijgen geen algemene commando-omgeving tot hun beschikkingAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.a
Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekendAutorisatie (beheersmaatregel)
De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken wordenAutorisatie (beheersmaatregel)
Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligdAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.2.c
Wachtwoorden worden versleuteld over een netwerk verzondenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.i, BIR 11.5.3.i
Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.a
Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspuntenAutorisatie (beheersmaatregel)
Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteldAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.g, BIR 11.5.3.i
Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagdAutorisatie (beheersmaatregel)
De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatieAutorisatie (beheersmaatregel)
In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdhedenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.b
Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluitenAutorisatie (beheersmaatregel)
Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheidenAutorisatie (beheersmaatregel)
Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomenAutorisatie (beheersmaatregel)
De toekenning van rechten aan processen en bestanden is zo minimaal mogelijkAutorisatie (beheersmaatregel)
Er worden vooraf gedefinieerde perioden (‘time slots’) gebruiktAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5, BIR 11.5.6.a
Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantastenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4.c, BIR 12.4.1.b
De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippenBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.1.c, BIR 12.2.2.b, BIR 12.2.2.f, BIR 12.2.2.g
Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigdBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.b, BIR 12.2.2.g
Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maaktBeheersing van verwerkingen
Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefoutenBeheersing van verwerkingen
Berichtverwerkende infrastructuur past foutloze berichtenverwerking toeBeheersing van verwerkingen
Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanismeBeheersing van verwerkingen
Foutbestanden worden niet gebruikt als opslagmechanismeBeheersing van verwerkingen
Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvindenBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.h
Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismenBeheersing van verwerkingen
Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressenBeperking van ongebruikte functies (hardening)
Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adresBeperking van ongebruikte functies (hardening)
Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeldBeperking van ongebruikte functies (hardening)
Beheermogelijkheden zijn zoveel mogelijk afgeslotenBeperking van ongebruikte functies (hardening)
Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismenBeperking van ongebruikte functies (hardening)
Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheidenBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.b
Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderdBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.h
Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassingBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.a
Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingenBestandscontrole
Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalenBestandscontrole
Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijkBestandscontrole
Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfunctiesControle en signalering
Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatieControle en signalering
Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerdControle en signalering
Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerdControle en signalering
De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM)Controle en signalering
Er is gespecificeerd welke beveiligingsincidenten kunnen optredenControle en signalering
In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkerenControle op communicatiegedrag
Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingenControle op communicatiegedrag
De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveauControle op communicatiegedrag
Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeertControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1.d, BIR 10.8.1.b
Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichtenControle op gegevensuitwisseling
De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatieControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.d
Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actiefControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1.d
Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controlesControle op gegevensuitwisseling
In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepastControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1
E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage.Controle op gegevensuitwisseling
Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerdControle op gegevensuitwisseling
GegevensencryptieControles voor risicovolle bedrijfsprocessen
Gegevensrubricering tonenControles voor risicovolle bedrijfsprocessen
Aparte applicatietakenControles voor risicovolle bedrijfsprocessen
Extra audit trailControles voor risicovolle bedrijfsprocessenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.g
Controletellingen databaseControles voor risicovolle bedrijfsprocessen
Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechniekenEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 15.1.6.c
De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekendEncryptie
Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaardenEncryptie
De sleutellengte is instelbaar en voldoende grootEncryptie
Situaties waarin encrypties dient te worden toegepastEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.6.1.c, BIR 10.9.2.c, BIR 12.2.3, BIR 10.6.1.c, BIR 11.5.3.i
Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegdEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 15.1.6.b
Basisscheidingen (klassieke functiescheiding)Functie- en processcheiding
Beheer versus gebruikFunctie- en processcheiding
Stamgegevens versus mutatiesFunctie- en processcheiding
Scheiden en afhankelijk maken van processtappenFunctie- en processcheiding
Scheiding bij massale invoerFunctie- en processcheiding
Eenduidige mutatieverantwoordelijkhedenFunctie- en processcheiding
Aparte taak voor goedkeurenFunctie- en processcheiding
Dezelfde gegevens in meerdere gegevensverzamelingenFunctie- en processcheiding
Scheiding per zaakFunctie- en processcheiding
Scheiding naar inhoud van gegevensFunctie- en processcheiding
De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoerenGeautoriseerde mobiele code
Encryptie binnen of ten behoeve van een applicatieGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Dubbele of ontbrekende bestandsuitwisselingGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
AutorisatiebeheersysteemGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Onweerlegbaarheid juiste ontvanger en verzenderGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
(Ver)sterkte authenticatieGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.Handhaven technische functionaliteit
Technische integriteit programmapakkettenHandhaven technische functionaliteit
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.Handhaven technische functionaliteit
Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuurHandhaven technische functionaliteitBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.5.3.a, BIR 12.5.3.b, BIR 12.5.3.c, BIR 12.5.3.d
Instellingen in overeenstemming met inrichtingsdocumentHandhaven technische functionaliteit
Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.Handhaven technische functionaliteit
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.Handhaven technische functionaliteit
Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerkingHerstellen van verwerkingen
De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatieHerstellen van verwerkingen
Er is voldoende buffering van tussenbestanden bij langere verwerkingsketensHerstellen van verwerkingen
Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismenHerstellen van verwerkingen
Voorzieningen op het gebied van automatic fail-over en load balancingHerstellen van verwerkingen
Afstand tussen locatiesHerstellen van verwerkingen
Routines voor back-up en recoveryHerstellen van verwerkingen
Systeemprocessen draaien onder een eigen gebruikersnaamIdentificatie (beheersmaatregel)
Gebruikersnaam beheerIdentificatie (beheersmaatregel)
Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoondIdentificatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.g
Het gebruik van speciale beheeraccounts is uitgeschakeldIdentificatie (beheersmaatregel)
Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten meldenIdentificatie (beheersmaatregel)
Unieke identificatieIdentificatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.2, BIR 11.5.3.a
Vrijgesteld van identificatieIdentificatie (beheersmaatregel)
PKI bij een onvertrouwd netwerkWederzijdse authenticatie
Integriteitscontrole van het bericht
BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.9.2.a, BIR 10.9.2.b, BIR 10.9.2.d, BIR 10.9.2.f, BIR 10.8.4.a, BIR 10.8.4.b, BIR 10.8.4.c, BIR 10.8.4.d, BIR 12.2.3
Er is een betrouwbare berichtendienst in het besloten netwerkverkeerWederzijdse authenticatie
Integriteitscontrole van het bericht
BIR 10.8.4.a, BIR 10.8.4.b, BIR10.8.4.c
Volledigheid (en juistheid) inzending berichtenInvoercontrole
CorrectiemogelijkhedenInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.c
Terugmelden omschrijvingInvoercontrole
Vastleggen verwerkingsdatumInvoercontrole
Invoer aan de bronInvoercontrole
Verplichte veldinvulling bij kritische gegevensInvoercontrole
VoortgangscontroleInvoercontrole
Onderscheid in invoeren wijzigen en verwijderenInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.a
Voorinvullen e-formulierenInvoercontrole
Default waardenInvoercontrole
Batch- en hashtotalsInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Validatie/ bestaanbaarheid/ relatieInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.a, BIR 12.2.2.d
Terugmelden invoer klantgegevensInvoercontrole
ControlegetalInvoercontrole
Weigeren invoer per batchInvoercontrole
Klant inschakelenInvoercontrole
Volledigheid invoer-volgorde controleInvoercontrole
Voorkomen dubbele invoerInvoercontrole
Signaleren invoerInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.e
Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissenRapportering
Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periodeRapportering
Systeemklokken worden tijdens openstelling gesynchroniseerdRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.6
Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatieRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.3.c
Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikersRegistratie (logging)
In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan wordenRegistratie (logging)
Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongenRegistratie (logging)
Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderenRegistratie (logging)
Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningenRegistratie (logging)
Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijnRegistratie (logging)
Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologieRegistratie (logging)
Handelingen op te nemen in de loggingRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.6.1.d, BIR 10.10.1.a-l, BIR 11.5.4.f
Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatieRegistratie (logging)
De volledigheid van de logging kan worden vastgesteldRegistratie (logging)
In een logregel weg te schrijven informatieRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.4.a, BIR 10.10.4.b, BIR 10.10.4.c, BIR 10.10.4.d
Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde logRegistratie (logging)
Uitsluitend geautoriseerde processen mogen logregels schrijvenRegistratie (logging)
Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutelsSleutelbeheer
Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardwareSleutelbeheer
Cryptohardware is tamper-resistantSleutelbeheer
Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principeSleutelbeheer
Cryptografische sleutels en certificaten kennen een geldigheidstermijnSleutelbeheer
Volledigheid uitvoerlijsten zelfUitvoercontrole
Wettelijke eisenUitvoercontrole
Controletellingen batchverwerkingUitvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Afdrukken selectiecriteria bij uitvoerlijstenUitvoercontrole
Voldoende mogelijkheden tot informatievoorzieningUitvoercontrole
GeleidelijstenUitvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Volledigheid verzending berichtenUitvoercontrole
Uitvoer alleen van noodzakelijke gegevensUitvoercontrole
Volledigheid uitvoerUitvoercontrole
Maken afdruk van gegevens van een post of zaakUitvoercontrole
Dubbele uitvoering van voorzieningenVermeervoudiging van systeemfuncties
Fysieke scheiding IT-voorzieningenVermeervoudiging van systeemfuncties
IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baserenVermeervoudiging van systeemfuncties
Snelle beschikbaarheid van reserve-voorzieningenVermeervoudiging van systeemfuncties
UitwijkcontractenVermeervoudiging van systeemfuncties
Raadpleegbaarheid audit trailVerwerkingsbeheersing
Schonen audit trailVerwerkingsbeheersing
Bewaartermijn audit trailVerwerkingsbeheersing
Transactionele integriteit in lange ketens van verwerkingVerwerkingsbeheersing
Handmatige bestandscorrectiesVerwerkingsbeheersing
Informatieverstrekking aan derdenVerwerkingsbeheersing
ControletellingenVerwerkingsbeheersingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2, BIR 12.2.2.a, BIR 12.2.2.b, BIR 12.2.4.b
Inhoud audit trailVerwerkingsbeheersing
Toepassen logistiek modelVerwerkingsbeheersingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.4.b
Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingenVoorspellen en signaleren van onderbrekingen
Overschrijdingen van drempelwaarden worden doorgegeven aan een Event ConsoleVoorspellen en signaleren van onderbrekingen
Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resourcesVoorspellen en signaleren van onderbrekingen
De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zoneZonering
De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zoneZonering
Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruiktZonering
Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlakZonering
Beheer van zones vindt plaats vanuit een eigen zoneZonering
In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaanZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.9.3.d
Zones kunnen worden onderscheiden door gebruikmaking vanZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.7
IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerdZonering
Elke zone heeft een vastgesteld uniek beveiligingsdoelZonering
Vitale bedrijfsgegevens worden in een aparte zone geplaatstZonering
Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderdZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.4
Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomenZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.2
Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantieZonering
Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poortenZonering
Een zone heeft een gedefinieerd beveiligingsniveauZonering
Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en ProductieZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4.b
Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zoneZonering