Invoercontrole

Uit NORA Online
Ga naar: navigatie, zoeken

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).

Contactpersonen: Annemieke de Wit en Guus van den Berg.

annemieke.dewit@cip-overheid.nl en guus.vandenberg@cip-overheid.nl


Invoercontrole.png
Invoercontrole is een eis (Beheersmaatregel)

Status: Concept

Specialiseert: Validatie van gegevensverwerking
Thema: Beveiliging/Administratieve controle
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 12.2.1, 12.2.2, ISO 27001:2013 14.1

Eis: Alle ingevoerde gegevens vanuit een systeemvreemde omgeving worden op juistheid (J), tijdigheid (T) en volledigheid (V) gecontroleerd voordat verdere verwerking plaatsvindt. Bij batchgewijze verwerking heeft de controle op de volledigheid ook betrekking op het aantal posten of mutaties dat deel uitmaakt van de batch.

Realiseert

Invoercontrole is een uitwerking van de volgende andere beheersmaatregelen:

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Invoercontrole:

  1. Onderscheid in invoeren wijzigen en verwijderen (J) (On-line) Er bestaan verschillende applicatietaken voor invoeren, wijzigen en verwijderen om de juiste invoercontroles (geautomatiseerd dan wel handmatig) mogelijk te maken. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  2. Correctiemogelijkheden (J) (Batch/On-line/Bericht) Er bestaan voldoende mogelijkheden om al ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen en/of te verwijderen. NB: wijzigen is verwijderen en toevoegen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  3. Invoer aan de bron (J) (Batch/On-line/Bericht) In een keten van verwerkingen (door meerdere organisaties) worden invoercontroles zoveel mogelijk bij de eerste verwerking (bij de bron) uitgevoerd, omdat daar de meeste kennis over die gegevens bestaat.
  4. Voorinvullen e-formulieren (J) (Batch/Bericht) De invoervelden van elektronische formulieren worden zoveel mogelijk tevoren ingevuld met al vastgestelde gegevens.
  5. Terugmelden invoer klantgegevens (J) (Batch/On-line/Bericht) Ingevoerde klantgerelateerde gegevens worden aan de klant als apart proces bevestigd met het verzoek de gegevens te controleren en meteen te (laten) wijzigen bij fouten.
  6. Klant inschakelen (J) (Batch/On-line/Bericht) Klanten hebben inzage in hun eigen gegevens en worden gestimuleerd hun gegevens op eigen initiatief te wijzigen indien nodig. Hiervoor worden functionaliteiten aangeboden.
  7. Volledigheid (en juistheid) inzending berichten (J en V) (Bericht) Bij onregelmatige inzending van berichten wordt aan de verzender duidelijk gemaakt dat er meteen een bevestiging van ontvangst moet worden verkregen, gecombineerd met de resultaten van de (eerste) verwerking. Hierdoor kan de inzender worden ingeschakeld bij het constateren dat de post (juist) is aangekomen.
  8. Vastleggen verwerkingsdatum (T) (Batch/On-line/Bericht) Ten behoeve van de controle op tijdigheid van ontvangst en verdere verwerking wordt per verwerking de datum vastgelegd op basis van de systeemdatum.
  9. Voortgangscontrole (T) (Batch/On-line/Bericht) Door vergelijking van de verschillende (verwerkingen)datums wordt voortgangscontrole op de verwerking uitgeoefend.
  10. Volledigheid invoer/volgorde controle (V) (Batch/Bericht) Door het opnemen van volgnummers in berichten of invoerrecords kan de volledige ontvangst worden vastgesteld, mits het aantal invoerbronnen beperkt is.
  11. Batch- en hashtotals (V) (Batch/Bericht) Door middel van het inbrengen van voortellingen van batch-(aantallen/bedragen) en hashtotals van invoerdocumenten / geleidelijsten in de applicatie wordt de volledigheid van massale invoer gecontroleerd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  12. Validatie/ bestaanbaarheid/ relatie (J) (Batch/ On-line/ Bericht) De ingevoerde gegevens vormen een complete en consistente gegevens set in de context van de applicatie. De toegestane waarden van de ingevoerde gegevens worden op juistheid gecontroleerd om de volgende fouten te ontdekken:
    • waarden die buiten het geldige bereik vallen;
    • ongeldige tekens in invoervelden;
    • ontbrekende of onvolledige kritische gegevens;
    • overschrijding van boven- en ondergrenzen voor gegevensvolumes (buffer overruns/overflows);
    • inconsistentie ten opzichte van andere gegevens binnen invoer dan wel in andere gegevensbestanden. Foutieve invoer wordt geweigerd. Onwaarschijnlijke invoer wordt gesignaleerd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
    • Weigeren invoer per batch (J) (Batch) Voor het retourneren van batchgewijze invoer in verband met niet te verwerken posten (uitval) worden vuistregels gehanteerd die periodiek worden geëvalueerd (bijv. bij meer dan 10 geweigerde posten hele bestand retour afzender).
    • Signaleren invoer (J) (Batch,
    On-line,
    
    Bericht) Afwijkende invoer op grond van relatie- en redelijkheidscontrole wordt aan de gebruiker gesignaleerd voordat de invoer in de applicatie wordt verwerkt.
    (BIR (Baseline Informatiebeveiliging Rijksdienst))
  13. Terugmelden omschrijving (J) (On-line) Indien van toepassing wordt bij ingevoerde codes of sleutelgegevens de daarbij behorende omschrijving teruggemeld ter visuele controle met het invoerdocument (bijvoorbeeld NAW-gegevens bij BurgerServiceNummers.)
  14. Verplichte veldinvulling bij kritische gegevens (J) (On-line) Gegevenselementen die kritisch zijn voor de toepassing worden verplicht ingevuld.
  15. Default waarden (J) (On-line) Vul de meest waarschijnlijke waarde van een veld al in indien dit van toepassing is. Bijvoorbeeld: in een registratie voor tijdschrijven de code N voor normale uren versus O voor overwerk. Default waarden zijn niet toegestaan bij kritische gegevenselementen.
  16. Controlegetal (check digit) (J) (Batch/On-line/Bericht) Relevante code-aanduidingen of sleutelgegevens (BurgerServiceNummer/ rekeningnummers et cetera) van 4 of meer posities zijn van een check-digit voorzien aan de hand waarvan de bestaanbaarheid van de codeaanduiding door de applicatie kan worden vastgesteld.
  17. Voorkomen dubbele invoer / controle op uniciteit (J) (Batch) Het opnemen van volgnummers in records of berichten en controle op uniciteit kan dubbele invoer voorkomen. Toepassing is mede afhankelijk van de mogelijkheden van de verwerkingscontroles dan wel productiecontroles dan wel de ernst van gevolgen van dubbele verwerking.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Invoercontrole: