Implementatierichtlijnen

Uit NORA Online
Ga naar: navigatie, zoeken
Implementatierichtlijn.png

Implementatierichtlijnen


Een implementatierichtlijn is een verbijzondering van een (ArchiMate) eis (requirement). Implementatierichtlijnen expliciteren beheersmaatregelen. Zij fungeren als ontwerp- en toetsingsnorm en zijn het meest concrete abstractieniveau in het katern Beveiliging, op het grensvlak van ‘WAT’ en ‘HOE’ van normenkaders.

Implementatierichtlijnen kunnen worden gevonden op de pagina van de beheersmaatregel die zij expliciteren en zijn gebaseerd op bronnen zoals de BIR (Baseline Informatiebeveiliging Rijksdienst).

ImplementatierichtlijnBeheersmaatregelHeeft bronSpecificatie bron
De default- en installatiewachtwoorden worden tijdens of direct na installatie verwijderd of gewijzigdAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.h
Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoondAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.b
Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerkenIdentificatie (beheersmaatregel)
Authenticatie (beheersmaatregel)
Autorisatie (beheersmaatregel)
BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.c
Authenticatie van gebruikers plaats op basis van cryptografische techniekAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 6.2.1.d, BIR 10.8.4 f, BIR 11.4.2
Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigdAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.b, BIR 11.3.1.f, BIR 11.5.3.e
Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteldAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.f
Wachtwoorden voldoen aan de wachtwoordconventieAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.d, BIR 11.3.1.d, BIR 11.5.3.c, BIR 11.3.1.e, BIR 11.5.3.f
Expiratiedatums van accounts zijn afgestemd op de einddatum van de contracten van de medewerkersAuthenticatie (beheersmaatregel)
Bij het niet-dagelijks beheer van kritische beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vierogenprincipe een alternatief voor cryptografische authenticatieAuthenticatie (beheersmaatregel)
Netwerksessies worden na een vastgestelde periode van inactiviteit afgeslotenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5
Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd wordenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.1.e, BIR 11.5.3.d
Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuurAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5, BIR 11.3.2.a
Een mobiel apparaat vraagt om een pincode of wachtwoord bij het inschakelenAuthenticatie (beheersmaatregel)
Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmeldingAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.a, BIR 11.5.1.c, BIR 11.5.1.d
Wachtwoorden van functionele accounts worden minder frequent gewijzigdAuthenticatie (beheersmaatregel)
Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerdAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.e
Werkplek voor telewerkenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.2, BIR 11.4.3
Automatisch aanmelden is niet toegestaan voor interactieve gebruikersAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.1.g
De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.b
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoordAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.h, BIR 11.5.3.g
Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassingAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.h
Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoordenAuthenticatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.3.a
Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteldAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.2.3.g, BIR 11.5.3.i
Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagdAutorisatie (beheersmaatregel)
De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatieAutorisatie (beheersmaatregel)
De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeldAutorisatie (beheersmaatregel)
Besturingsprogrammatuur heeft de mogelijkheid sessies af te sluitenAutorisatie (beheersmaatregel)
Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheidenAutorisatie (beheersmaatregel)
Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomenAutorisatie (beheersmaatregel)
Toegangsrechten worden zoveel mogelijk via groeperingmechanismen toegekendAutorisatie (beheersmaatregel)
In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdhedenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.b
Er worden vooraf gedefinieerde perioden (‘time slots’) gebruiktAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.5, BIR 11.5.6.a
Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantastenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4.c, BIR 12.4.1.b
Bij het koppelen van gebruikers aan autorisatiegroepen kunnen aangegeven onverenigbaarheden worden gesignaleerdAutorisatie (beheersmaatregel)
Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op zo stabiel mogelijke uitgangspuntenAutorisatie (beheersmaatregel)
De toekenning van rechten aan processen en bestanden is zo minimaal mogelijkAutorisatie (beheersmaatregel)
Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleidAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.6.c
Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4e
Gebruikers krijgen geen algemene commando-omgeving tot hun beschikkingAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.a
Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount draaienAutorisatie (beheersmaatregel)
Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligdAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.3.2.c
Wachtwoorden worden versleuteld over een netwerk verzondenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.i, BIR 11.5.3.i
Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzenAutorisatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.a
De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken wordenAutorisatie (beheersmaatregel)
Infrastructuur bevat logica die het beheer van foutbestanden mogelijk maaktBeheersing van verwerkingen
Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefoutenBeheersing van verwerkingen
Berichtverwerkende infrastructuur past foutloze berichtenverwerking toeBeheersing van verwerkingen
Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt de uitwisseling gecontroleerd met een apart file-transfermechanismeBeheersing van verwerkingen
Foutbestanden worden niet gebruikt als opslagmechanismeBeheersing van verwerkingen
Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvindenBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.h
Stapelen van fouten wordt voorkomen door toepassing van ‘noodstop’ mechanismenBeheersing van verwerkingen
De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippenBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.1.c, BIR 12.2.2.b, BIR 12.2.2.f, BIR 12.2.2.g
Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigdBeheersing van verwerkingenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.b, BIR 12.2.2.g
Beheermogelijkheden zijn zoveel mogelijk afgeslotenBeperking van ongebruikte functies (hardening)
Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismenBeperking van ongebruikte functies (hardening)
Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressenBeperking van ongebruikte functies (hardening)
Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN’s en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adresBeperking van ongebruikte functies (hardening)
Onnodige en ongebruikte functies van infrastructurele programmatuur zijn uitgeschakeldBeperking van ongebruikte functies (hardening)
Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassingBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.a
Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheidenBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.b
Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderdBeperking van systeemhulpmiddelenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.4.h
Vergelijk dezelfde kritische gegevens in verschillende gegevensverzamelingenBestandscontrole
Indien de bestanden dezelfde metadata bevatten kan de controle plaatsvinden met hash-totalenBestandscontrole
Bij afgeleide gegevensverzamelingen die frequent en integraal worden overschreven door kopieën vanuit een basisgegevensverzameling is vergelijking van gegevensverzamelingen niet noodzakelijkBestandscontrole
De beveiligingsfuncties voor Filtering en Logische Toegangsbeveiliging sluiten aan op de generieke beveiligingsvoorziening voor Security Incident en Event Management (SIEM)Controle en signalering
Bij automatische controle op beveiligingsinstellingen wordt het inbrengen van het Soll-bestand voor beveiligingsinstellingen gescheiden van andere systeemfunctiesControle en signalering
Instellingen van IB-functies die betrokken zijn bij filtering kunnen automatisch op wijzigingen worden gecontroleerd en gealarmeerdControle en signalering
Er is gespecificeerd welke beveiligingsincidenten kunnen optredenControle en signalering
Instelbaar is bij welke drempelwaarden een melding wordt gegeven die direct zichtbaar is voor de beheerorganisatieControle en signalering
Instelbaar is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerdControle en signalering
De filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveauControle op communicatiegedrag
In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en blokkerenControle op communicatiegedrag
Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt real-time inhoudelijk geïnspecteerd op inbraakpogingenControle op communicatiegedrag
In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepastControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1
E-mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage.Controle op gegevensuitwisseling
Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerdControle op gegevensuitwisseling
Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeertControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1.d, BIR 10.8.1.b
Er is een (spam)filter geactiveerd voor zowel ontvangen als verzonden berichtenControle op gegevensuitwisseling
De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatieControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.1.d
Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actiefControle op gegevensuitwisselingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.4.1.d
Versleutelde gegevensstromen van en naar de externe zone worden ontsleuteld voor inhoudelijke controlesControle op gegevensuitwisseling
Extra audit trailControles voor risicovolle bedrijfsprocessenBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.g
Controletellingen databaseControles voor risicovolle bedrijfsprocessen
GegevensencryptieControles voor risicovolle bedrijfsprocessen
Gegevensrubricering tonenControles voor risicovolle bedrijfsprocessen
Aparte applicatietakenControles voor risicovolle bedrijfsprocessen
De sleutellengte is instelbaar en voldoende grootEncryptie
Situaties waarin encrypties dient te worden toegepastEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.6.1.c, BIR 10.9.2.c, BIR 12.2.3, BIR 10.6.1.c, BIR 11.5.3.i
Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegdEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 15.1.6.b
Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechniekenEncryptieBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 15.1.6.c
De gebruikte cryptografische algoritmen zijn als open standaard per soort toepassing gedocumenteerd en staan als robuust bekendEncryptie
Hardware-oplossingen zijn gecertificeerd volgens daartoe strekkende standaardenEncryptie
Aparte taak voor goedkeurenFunctie- en processcheiding
Dezelfde gegevens in meerdere gegevensverzamelingenFunctie- en processcheiding
Scheiding per zaakFunctie- en processcheiding
Scheiding naar inhoud van gegevensFunctie- en processcheiding
Basisscheidingen (klassieke functiescheiding)Functie- en processcheiding
Beheer versus gebruikFunctie- en processcheiding
Stamgegevens versus mutatiesFunctie- en processcheiding
Scheiden en afhankelijk maken van processtappenFunctie- en processcheiding
Scheiding bij massale invoerFunctie- en processcheiding
Eenduidige mutatieverantwoordelijkhedenFunctie- en processcheiding
De volgende handelingen worden overwogen om te verhinderen dat ‘mobile code’ ongeautoriseerde acties kan uitvoerenGeautoriseerde mobiele code
AutorisatiebeheersysteemGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
(Ver)sterkte authenticatieGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Encryptie binnen of ten behoeve van een applicatieGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Dubbele of ontbrekende bestandsuitwisselingGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Onweerlegbaarheid juiste ontvanger en verzenderGeprogrammeerde controles af te stemmen met generieke IT-voorzieningen
Technische integriteit programmapakkettenHandhaven technische functionaliteit
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of er bekende zwakheden in de configuratie voorkomen.Handhaven technische functionaliteit
Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuurHandhaven technische functionaliteitBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.5.3.a, BIR 12.5.3.b, BIR 12.5.3.c, BIR 12.5.3.d
Instellingen in overeenstemming met inrichtingsdocumentHandhaven technische functionaliteit
Instellingen van programmapakketten en infrastructurele programmatuur kunnen geautomatiseerd worden gecontroleerd op configuratieafwijkingen van het vastgestelde inrichtingsdocument.Handhaven technische functionaliteit
Van programmapakketten en infrastructurele programmatuur kan bij voorkeur geautomatiseerd gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.Handhaven technische functionaliteit
Het automatisch doorvoeren van een update vindt alleen plaats als hierover speciale afspraken zijn gemaakt met de leverancier.Handhaven technische functionaliteit
Afstand tussen locatiesHerstellen van verwerkingen
Routines voor back-up en recoveryHerstellen van verwerkingen
Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerkingHerstellen van verwerkingen
De bediening van IT-voorzieningen is niet gebonden aan een fysieke locatieHerstellen van verwerkingen
Er is voldoende buffering van tussenbestanden bij langere verwerkingsketensHerstellen van verwerkingen
Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismenHerstellen van verwerkingen
Voorzieningen op het gebied van automatic fail-over en load balancingHerstellen van verwerkingen
Systeemprocessen draaien onder een eigen gebruikersnaamIdentificatie (beheersmaatregel)
Gebruikersnaam beheerIdentificatie (beheersmaatregel)
Het gebruik van speciale beheeraccounts is uitgeschakeldIdentificatie (beheersmaatregel)
Unieke identificatieIdentificatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.2, BIR 11.5.3.a
Er wordt zoveel mogelijk voorkomen dat gebruikers zich op de verschillende IT-voorzieningen in dezelfde keten opnieuw aan moeten meldenIdentificatie (beheersmaatregel)
Vrijgesteld van identificatieIdentificatie (beheersmaatregel)
Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoondIdentificatie (beheersmaatregel)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.5.1.g
Er is een betrouwbare berichtendienst in het besloten netwerkverkeerWederzijdse authenticatie
Integriteitscontrole van het bericht
BIR 10.8.4.a, BIR 10.8.4.b, BIR10.8.4.c
PKI bij een onvertrouwd netwerkWederzijdse authenticatie
Integriteitscontrole van het bericht
BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.9.2.a, BIR 10.9.2.b, BIR 10.9.2.d, BIR 10.9.2.f, BIR 10.8.4.a, BIR 10.8.4.b, BIR 10.8.4.c, BIR 10.8.4.d, BIR 12.2.3
CorrectiemogelijkhedenInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.c
Terugmelden omschrijvingInvoercontrole
Vastleggen verwerkingsdatumInvoercontrole
Invoer aan de bronInvoercontrole
Verplichte veldinvulling bij kritische gegevensInvoercontrole
Onderscheid in invoeren wijzigen en verwijderenInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.a
VoortgangscontroleInvoercontrole
Voorinvullen e-formulierenInvoercontrole
Default waardenInvoercontrole
Validatie/ bestaanbaarheid/ relatieInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.a, BIR 12.2.2.d
Batch- en hashtotalsInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Terugmelden invoer klantgegevensInvoercontrole
ControlegetalInvoercontrole
Weigeren invoer per batchInvoercontrole
Volledigheid invoer-volgorde controleInvoercontrole
Klant inschakelenInvoercontrole
Voorkomen dubbele invoerInvoercontrole
Signaleren invoerInvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.1.e
Volledigheid (en juistheid) inzending berichtenInvoercontrole
Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissenRapportering
Periodiek worden er trendanalyses vervaardigd en gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periodeRapportering
Uitsluitend geautoriseerde processen mogen logregels schrijvenRegistratie (logging)
Systeemklokken worden tijdens openstelling gesynchroniseerdRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.6
Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatieRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.3.c
Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikersRegistratie (logging)
In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan wordenRegistratie (logging)
Bij onderhoud op analyse- en raadpleegvoorzieningen voor een logbestand wordt achterwaartse compatibiliteit afgedwongenRegistratie (logging)
Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te verwijderenRegistratie (logging)
Bij het schrijven en opslaan van logregels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningenRegistratie (logging)
Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijnRegistratie (logging)
Bij het aanleggen van logbestanden wordt zo mogelijk gebruik gemaakt van “write once”-technologieRegistratie (logging)
Handelingen op te nemen in de loggingRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.6.1.d, BIR 10.10.1.a-l, BIR 11.5.4.f
Er zijn query- en analysetools aanwezig voor het kunnen ontsluiten van loginformatieRegistratie (logging)
De volledigheid van de logging kan worden vastgesteldRegistratie (logging)
In een logregel weg te schrijven informatieRegistratie (logging)BIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.10.4.a, BIR 10.10.4.b, BIR 10.10.4.c, BIR 10.10.4.d
Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde logRegistratie (logging)
Cryptografische sleutels en certificaten kennen een geldigheidstermijnSleutelbeheer
Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutelsSleutelbeheer
Generatie en installatie van private keys master keys en rootcertificates vinden plaats binnen een beschermende omgeving van cryptohardwareSleutelbeheer
Cryptohardware is tamper-resistantSleutelbeheer
Interactieve bediening van cryptohardware vindt plaats volgens het vier-ogen-principeSleutelbeheer
Volledigheid uitvoerUitvoercontrole
Maken afdruk van gegevens van een post of zaakUitvoercontrole
Volledigheid uitvoerlijsten zelfUitvoercontrole
Wettelijke eisenUitvoercontrole
Controletellingen batchverwerkingUitvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Afdrukken selectiecriteria bij uitvoerlijstenUitvoercontrole
Voldoende mogelijkheden tot informatievoorzieningUitvoercontrole
GeleidelijstenUitvoercontroleBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2.e
Volledigheid verzending berichtenUitvoercontrole
Uitvoer alleen van noodzakelijke gegevensUitvoercontrole
IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baserenVermeervoudiging van systeemfuncties
Snelle beschikbaarheid van reserve-voorzieningenVermeervoudiging van systeemfuncties
UitwijkcontractenVermeervoudiging van systeemfuncties
Dubbele uitvoering van voorzieningenVermeervoudiging van systeemfuncties
Fysieke scheiding IT-voorzieningenVermeervoudiging van systeemfuncties
ControletellingenVerwerkingsbeheersingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.2, BIR 12.2.2.a, BIR 12.2.2.b, BIR 12.2.4.b
Inhoud audit trailVerwerkingsbeheersing
Toepassen logistiek modelVerwerkingsbeheersingBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 12.2.4.b
Raadpleegbaarheid audit trailVerwerkingsbeheersing
Schonen audit trailVerwerkingsbeheersing
Bewaartermijn audit trailVerwerkingsbeheersing
Transactionele integriteit in lange ketens van verwerkingVerwerkingsbeheersing
Handmatige bestandscorrectiesVerwerkingsbeheersing
Informatieverstrekking aan derdenVerwerkingsbeheersing
Overschrijdingen van drempelwaarden worden doorgegeven aan een Event ConsoleVoorspellen en signaleren van onderbrekingen
Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resourcesVoorspellen en signaleren van onderbrekingen
Er worden standaard voorzieningen geïmplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingenVoorspellen en signaleren van onderbrekingen
Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderdZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.4
Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantieZonering
Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poortenZonering
Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en ProductieZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.1.4.b
Een zone heeft een gedefinieerd beveiligingsniveauZonering
Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zoneZonering
De experimenteeromgeving (laboratorium of Sand box) is een fysiek gescheiden zoneZonering
De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zoneZonering
Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruiktZonering
Beheer van zones vindt plaats vanuit een eigen zoneZonering
Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlakZonering
In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaanZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 10.9.3.d
IT-voorzieningen die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld worden in de externe zone gepositioneerdZonering
Zones kunnen worden onderscheiden door gebruikmaking vanZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.4.7
Elke zone heeft een vastgesteld uniek beveiligingsdoelZonering
Vitale bedrijfsgegevens worden in een aparte zone geplaatstZonering
Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomenZoneringBIR (Baseline Informatiebeveiliging Rijksdienst)BIR 11.6.2