Sandbox:Beveiliging

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Introductie informatiebeveiliging in de NORA

Uitgangspunten: Wat willen we bereiken?[bewerken]

Informatiebeveiliging kost geld en tijd en beperkt soms de mogelijkheden voor gebruikers en ontwikkelaars. Het mag dan ook geen doel op zichzelf zijn, maar dient als middel om te zorgen dat onze digitale diensten goed blijven functioneren. In de publieke sector heeft de NORA in enkele Basisprincipes en Afgeleide principes voorwaarden gesteld voor dat functioneren. Die principes vormen de uitgangspunten voor informatiebeveiliging in de NORA:

Informatiebeveiliging dient om de data in onze systemen Betrouwbaar en Vertrouwelijk te houden. Kort gezegd proberen we de Onweerlegbaarheid, de Beschikbaarheid, de Integriteit, de Vertrouwelijkheid en de Controleerbaarheid van de data te garanderen.

Eisen: Wat is er nodig om de uitgangspunten te bereiken?[bewerken]

Abstracte uitgangspunten moeten eerst concreet gemaakt worden om er in de praktijk rekening mee te kunnen houden. Wat betekent het bijvoorbeeld voor een systeem als de Beschikbaarheid gegarandeerd moet worden? Op basis van jaren ervaring en onderzoek zijn acht functionele thema's benoemd waar je aandacht aan moet besteden om de uitgangspunten te kunnen garanderen. Een thema kan onder één uitgangspunt vallen, maar ook onder meerdere.

Elk thema bestaat uit eisen die aangeven wat er nodig is om de bovenliggende uitgangspunten te bereiken: Beheersmaatregelen Per beheersmaatregel zijn altijd één of meer Implementatierichtlijnen gedefinieerd, die als het ware ‘de hoogte van het hek’ (de norm) bepalen voor de betreffende beheersmaatregel.

Oplossingen: Hoe kan ik die eisen in de praktijk invullen?[bewerken]

Als we weten wat er nodig is is het nog niet altijd duidelijk hoe je dat realiseert. Gelukkig zijn er herbruikbare oplossingen beschikbaar, gemaakt vanuit de kennis en ervaring van experts. Beveiligingspatronen bestaan uit een standaard beschrijving van een probleem en oplossing binnen een bepaalde context, met als doel dat de oplossing algemener inzetbaar wordt. Beveiligingspatronen zijn wereldwijd zowel in de publieke als in de private sector toepasbaar.

Beschouwingsmodellen zijn onderdeel uit van de NORA-aanpak voor IB-architectuur. Doel van een beschouwingsmodel is het afbeelden van mechanismen die beveiligingsfuncties uitvoeren in IT-ketens of onderdelen daarvan. Ze geven aan op welke onderdelen van de generieke infrastructuur beveiligingsfuncties precies ingrijpen. Net als bij beveiligingspatronen wordt vanuit een probleemstelling een oplossing gegeven.

Zowel Beveiligingspatronen als Beschouwingsmodellen zijn gerangschikt in de zelfde thema's als de Eisen, zodat het uiteindelijke doel en de onderlinge relaties helder zijn.

Grafische weergave metamodel beveiliging (doorklikbaar)[bewerken]

schema van architectuurelementen informatiebeveiliging en onderlinge relaties zoals ook weergegeven is in de tekstBasisprincipe: BetrouwbaarBasisprincipe: VertrouwelijkAfgeleid principe: OnweerlegbaarheidAfgeleid principe: BeschikbaarheidAfgeleid principe: IntegriteitAfgeleid principe: VertrouwelijkheidAfgeleid principe: ControleerbaarheidThema TransactieThema ContinuïteitThema SysteemintegriteitThema Administratieve controleThema ScheidingThema FilteringThema ToegangThema Registratie, controle en rapporteringOverzicht OplossingenOverzicht Eisen