Sandbox:CIP invoer

Uit NORA Online
Naar navigatie springen Naar zoeken springen
NB: Deze pagina is geen onderdeel van de reguliere NORA, maar een testruimte. Het is dus niet zeker of de inhoud zoals u die ziet juist, actueel en betrouwbaar is.

Deze pagina is bedoeld om te verantwoorden hoe de gegevens van CIP / ISOR zijn verwerkt in de wiki. Voorlopig is dit ook een werkplan / invulinstructie voor de invoer.

Laatste wijzigingen[bewerken]

In een overleg op donderdag 18 mei hebben we een aantal zaken besproken:

  1. De term Beveiligingseis dekt de lading nog steeds niet goed genoeg. Deze laag is in feite het ISOR object, namelijk hetgeen waarop de onderliggende normen van toepassing zijn. Dit object wordt getypeert door zijn criterium, zoals een NORA Basis- of Afgeleid Principe getypeert wordt door de rationale.
  2. Wat nu conformiteitsindicator heet zijn de daadwerkelijke normen of subnormen die bij het beveiligingsobject horen, kortom de zaken die nodig zijn om het criterium te realiseren.
  3. De relatie tussen deze twee lagen (objecten en normen) zou dan (een variant op) een van de bestaande relaties kunnen zijn, zoals Eigenschap:Realiseert.
  4. De eigenschappen zoals die nu aan beveiligingseis en conformiteitsindicator hangen zijn wel grotendeels correct (zie kop Aangemaakte elementen, relaties en eigenschappen voor overzicht en beschrijving).
  5. Import van bestaande normenkaders in de wiki kan via een excel-file, csv of open-office bestand (voor de daadwerkelijke import voegt NORA Beheer er nog een aantal zaken aan toe in een open-office spreadsheet, dus direct als csv heeft geen voordelen).
  6. In de weergave van het object worden ook de normen getoond. De relatie tussen object (en criterium) en de onderliggende normen kan grafisch worden weergegeven. Hiervoor is het qua onderhoud verstandig om geen apart plaatje per pagina te maken (zoals we wel gedaan hebben voor de Afgeleide Principes, bijv. Terugmelden aan bronhouder), maar ofwel een automatisch gegenereerde graph te gebruiken (zie bijvoorbeeld Grafisch overzicht relatie principes en beleidskaders) ofwel een plaatje te maken die de abstracte relatie weergeeft los van de daadwerkelijke namen (zoals bijvoorbeeld in Afgeleide principes)

Acties van de kant van NORA:

  1. Besluit nemen hoe het besprokene het best in het NORA Kennismodel kan worden geïntegreerd, dus welke relaties hergebruikt of aangemaakt moeten worden en wat voor type elementen de oude Beveiligingseis en Conformiteitsindicator nu moeten worden.
  2. Wijzigen van de naam en definitie van Beveiligingseis en Conformiteitsindicator, voorlopig naar ISOR object en Norm en conform het Kennismodel. Dit kan later nog worden gewijzigd, ook nadat de normenkaders zijn toegevoegd.
  3. Maken van wijzigingen in de gewenste eigenschappen op verzoek van CIP. Eigenschappen kunnen later worden gewijzigd of toegevoegd, maar bestaande pagina's worden hier pas op aangepast als ze (gewijzigd en) opnieuw goedgekeurd worden. Het is dus verstandig om de eigenschappen goed te definiëren voordat een massa-import gedaan wordt.
  4. Ontwerpen en voorstellen van de mogelijkheid om een toelichting uitklapbaar te maken, zodat je niet de gehele tekst altijd in beeld hebt staan.

Acties van de kant van CIP:

  1. aanleveren definities bij ISOR object en Norm
  2. checken eigenschappen bij ISOR object (zie lijst hieronder bij Beveiligingseis) en bij Norm (zie hieronder bij Conformiteitsindicator) en doorgeven welke eigenschappen nog gewijzigd moeten worden
  3. vullen van excel met te importeren normenkaders, waarbij elk van de gewenste eigenschappen en relaties is weergegeven
  4. vullen en waar nodig aanmaken van teksten voor de diverse ISOR onderwerpen - de 19 of zo thema's die nu nog aparte normenkaders vormen in pdf / op papier.
  5. vullen en waar nodig aanmaken van verdere pagina's met introductieteksten, over ISOR, SIVA-methodiek, verband met BIR/BIO en rest thema Beveiliging enzovoorts.
  6. verder nadenken over gewenste views en representatie

Aangemaakte elementen, relaties en eigenschappen met definitie[bewerken]

Voor ISOR zijn de volgende elementtypen aangemaakt, met de definitie er achter:

Deze twee elementen zijn verbonden met een nieuwe relatie, met de definitie er achter:

Elke beveiligingseis heeft via deze relatie één of meerdere conformiteitsindicatoren. Conformiteitsindicatoren kunnen in principe aan meerdere beveiligingseisen gekoppeld worden. NB:de relatie loopt vanaf de beveiligingseis naar de conformiteitsindicator en wordt dus ook op de pagina van de beveiligingseis in kwestie aangemaakt.

Daarnaast maken Beveiligingseisen gebruik van de bestaande relatie Heeft bron. Gebruik deze relatie om te linken met een beleidskader of andere bron waar de beveiligingseis op gebaseerd is. De relatie is tussen de beveiligingseis in zijn geheel en de bron in zijn geheel. Specificeer deze relatie vervolgens waar nodig met de Eigenschap:Specificatie bron. Bijvoorbeeld: Heeft bron -> BIR (Baseline Informatiebeveiliging Rijksdienst), met Specificatie bron -> BIR 6.2.1.d, BIR 10.8.4 f, BIR 11.4.2.

Om deze elementen afdoende te kunnen beschrijven zijn een aantal nieuwe eigenschappen aangemaakt. De actuele lijst van eigenschappen is te zien op de pagina van de twee elementtypen. Nieuw aangemaakt voor ISOR met toelichting:

Daarnaast is er een aantal bestaande eigenschappen hergebruikt voor ISOR.

Bestaande eigenschap, vul binnen ISOR

  • Eigenschap:ID:Deze eigenschap kan worden gebruikt om een element te voorzien van een unieke identificatie..

Vul binnen ISOR eerst de afkorting van het ISOR-onderwerp in, gevolgd door het originele ID. Bijvoorbeeld: SSD 1.2.

  • Eigenschap:Toelichting:Deze eigenschap kan worden gebruikt om elementen te voorzien van een uitgebreide toelichting.

Vul hier in wat er in het origineel ook onder/achter Toelichting stond.

  • Eigenschap:Specificatie bron :Geef hier waar nodig aan welk artikel / hoofdstuk / pagina van de bronnen gebruikt is als bron. Doe dit in het format 'bron:referentie', bijv. NCSC:BO-6.

Noteer hier de afkorting van de bron met het artikel of paginanummer. Bij meerdere bronnen een komma als scheidingsteken gebruiken. Vergeet niet de Bron/bronnen waarnaar verwezen wordt ook in te vullen bij relaties (en waar nodig aan te laten maken in de wiki).

  • Eigenschap:Beschrijving:Deze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.

Vul hier voor Conformiteitsindicatoren de tekst in die beschrijft wat een indicator inhoudt. Eventuele toelichting op een andere plek komt in de eigenschap Toelichting te staan.


Aanmaken en invoeren nieuwe beveiligingseis[bewerken]

Stappenplan:

  1. Maak de eis aan
  2. Voer de informatie van de eis in en leg relaties
  3. Sla de nieuwe eis op (en keur de pagina goed)
  4. Maak de onderliggende conformiteitsindicatoren aan

Stap 1: aanmaken nieuwe beveiligingseis[bewerken]

Ga naar de pagina Beveiligingseis, scroll omlaag naar de kop Elementen van dit type. Voer in het invoerveld naast de knop 'Maak beveiligingseis' de naam in van de nieuwe Beveiligingseis. Deze naam is de titel van een nieuwe pagina in de wiki, dus er zijn wat beperkingen: Gebruik geen komma's in de titel geen / of : en het liefst ook geen andere leestekens. Spaties zijn wel toegestaan. Gebruik waar mogelijk de originele titel. Nieuwe titels moeten beschrijvend en begrijpelijk zijn (dus geen Eis 1.1).

Zodra je de naam hebt ingevuld en op de knop hebt geklikt verschijnt een nieuwe pagina met invoervelden. Het is ook mogelijk om deze pagina in een nieuw tabblad of venster te openen, klik met de rechtermuisknop op Maak beveiligingseis en kies de gewenste optie.

Stap 2: informatie invoeren en relaties leggen[bewerken]

Voer in het invoerformulier de invulvelden in:

  • ID: Vul eerst de afkorting van het ISOR-onderwerp in, gevolgd door het originele ID. Bijvoorbeeld: SSD 1.2.
  • Criterium: Datgene wat er gedaan moet worden of gerealiseerd
  • Doelstelling: Geef hier het doel van de eis op, dus wat de reden is om de eis te stellen. Bijvoorbeeld het beveiligen van een dienst tegen een bepaald type dreigingen.
  • Risico : Beschrijf hier het risico dat het ISOR Object probeert te mitigeren
  • Toelichting: Vul hier in wat er in het origineel ook onder/achter Toelichting stond.
  • Specificatie bron : Vul hier de Referenties in van de eis, door de in het origineel genoemde bron met een spatie te combineren met de genoemde artikelen. Meerdere bronnen scheid je met een komma. Bijvoorbeeld: BIR 7.1.2, BIR 10.7.4, SoGP PM1.2.
  • Eigenschap:Beveiligingsaspect :Kies hier of de eis in de context Beleid, Uitvoering of Control thuishoort
  • ISOR onderwerp :

Vul onder de kop 'Relaties met andere Elementen' de namen in de van de wikipagina's waarmee je deze eis wilt verbinden:

  • Heeft conformiteitsindicator: Geef hier de namen op van de conformiteitsindicatoren die bij deze Beveiligingseis horen, gescheiden met een komma. Het is niet noodzakelijk de conformiteitsindicatoren eerst aan te maken, zolang je de zelfde naam gebruikt bij het aanmaken zal de link gaan werken zodra je de indicator hebt aangemaakt.
  • Heeft bron|Heeft bron: Geef hier de namen op van de bronnen waarop de Beveiligingseis is gebaseerd. Ook dit is een link naar een pagina binnen de wiki, dus let goed op: bronnen die al in de wiki staan moeten met dezelfde spellingswijze, afkortingen en/of hoofdletters worden ingevoerd. Bronnen die nog niet bestaan kun je later aanmaken, maar kies ook daarvoor een naam die een goede titel vormt. Zo is het goed gebruik om niet alleen een afkorting als titel te gebruiken, maar de volle titel te gebruiken met de afkorting er tussen haakjes achter. Bronnen worden van elkaar gescheiden met een komma.

Het vrije invoer-veld kun je leeg laten, of gebruiken om één of meer categorieën toe te voegen aan de pagina.

De nieuwe eis opslaan (en goedkeuren)[bewerken]

Het is verstandig (maar niet noodzakelijk) om op dit moment te checken of alles goed is ingevuld, door op de knop 'Bewerking ter controle bekijken' te klikken (helemaal onderaan, middelste knop naast 'Pagina opslaan'). Je krijgt nu een paginavoorbeeld te zien. Het invoerformulier staat nog steeds onder deze pagina, door omlaag te scrollen kun je direct wijzigingen invoeren (die pas verschijnen als je nogmaals op 'Bewerking ter controle bekijken' klikt). NB: de pagina is nog niet opgeslagen!

Zodra je tevreden bent met de ingevulde informatie vul je in het tekstveld 'Samenvatting' in wat de wijziging is. In dit geval volstaat een 'aangemaakt' of iets dergelijks, bij wijzigingen kan het handig zijn iets specifieker te zijn zodat later nog is na te gaan waarom een pagina is aangepast.

Na het opslaan verschijnt de oude pagina weer in beeld (in dit gteval dus een lege pagina), met boven in beeld de tekst in blauw de link 'Laatste versie bekijken.' Klik hierop en bekijk de ingevoerde pagina. Als er wijzigingen nodig zijn kun je die invoeren door rechts bovenin op Bewerken te klikken. Is de pagina zo goed, dan kun je hem goedkeuren door op de blauwe link 'Deze versie goedkeuren' te klikken. NB: Links naar conformiteitsindicatoren of bronnen die nog aangemaakt moeten worden zullen in rood staan. Vergeet niet deze binnen afzienbare tijd in te voeren of in het geval van bronnen NORA Beheer te vragen dit te doen.

Conformiteitsindicatoren aanmaken[bewerken]

Ga naar de pagina Conformiteitsindicator, scroll omlaag naar de kop Elementen van dit type. Voer in het invoerveld naast de knop 'Maak conformiteitsindicator' de naam in van de nieuwe Conformiteitsindicator. Deze naam is de titel van een nieuwe pagina in de wiki, dus er zijn wat beperkingen: Gebruik geen komma's in de titel geen / of : en het liefst ook geen andere leestekens. Spaties zijn wel toegestaan. Gebruik waar mogelijk de originele titel. Nieuwe titels moeten beschrijvend en begrijpelijk zijn (dus geen Indicator 1.1).

Zodra je de naam hebt ingevuld en op de knop hebt geklikt verschijnt een nieuwe pagina met invoervelden. Het is ook mogelijk om deze pagina in een nieuw tabblad of venster te openen, klik met de rechtermuisknop op Maak beveiligingseis en kies de gewenste optie.

  • ID: Vul eerst de afkorting van het ISOR-onderwerp in, gevolgd door het ID van de Beveiligingseis. Voeg vervolgens de eigen rangorde van de conformiteitsindicator toe na een extra komma, dus bijvoorbeeld: SSD 1.2.1 en SSD 1.2.2 wanneer er twee conformiteitsindicatoren zijn. Voor conformiteitsindicatoren die aan meerdere beveiligingseisen bijdragen kun je meerdere ID's toevoegen, gescheiden door een komma. Bijvoorbeeld: SSD_U1.2, TVZ_C1.1.
  • Beschrijving: Vul hier voor de tekst in die beschrijft wat een indicator inhoudt.

Toelichting: Vul hier in wat er in het origineel ook onder/achter Toelichting stond bij deze conformiteitsindicator. Wanneer dat voor de begrijpelijkheid / leesbaarheid nodig is kun je de toelichting van een niveau hoger herhalen.

Conformiteitsindicatoren initiëren zelf weinig relaties: de relatie Heeft conformiteitsindicator gaat uit van de Beveiligingseis. Wanneer dat nuttig is kun je de relatie 'is gerelateerd aan' gebruiken om de relatie tussen meerdere conformiteitsindicatoren weer te geven. Vul in dat geval de naam van de conformiteitsindicator waaraan je deze wilt relateren in in het invoerveld 'Is gerelateerd aan.' Ook hier is de komma het scheidingsteken als je meerdere relaties wilt aanleggen en hoeft de pagina waarheen verwezen wordt nog niet aangemaakt te zijn.

Het opslaan en goedkeuren van conformiteitsindicatoren werkt identiek als bij beveiligingseisen. Check na het opslaan even of de relatie van de Beveiligingseis naar de conformiteitsindicator goed wordt weergegeven op beide pagina's.

ISOR onderwerp aanmaken[bewerken]

(cf. CIP-thema.)

Om dit te maken zijn twee stappen nodig: een pagina aanmaken voor het onderwerp, met een standaard tekst er in, en het aanpassen van de eigenschap ISOR onderwerp.

Geef in het zoekvenster (rechtsboven) de volledige naam van de nieuwe pagina en druk op enter. Je krijgt de zoekresultaten met bovenin: De pagina "De naam die je hebt ingevuld" aanmaken op deze wiki.. Kies daarvoor en plak een code zoals de volgende. 

{{CIP concept}}
[[Afbeelding:ISOR_klein.png|thumb|right|210px||alt=ISOR logo (test)]]

XXX is een van de inhoudelijke onderwerpen van de [[ISOR (Information Security Object Repository)]].

Nieuwe paragraaf met beschrijvende tekst. Tussen alle paragrafen twee witregels; een enkele witregel wordt genegeerd.

==De beveiligingseisen van xxonderwerpxx==
{{Alle beveiligingseisen voor onderwerp|xxonderwerpxx}}
[[Categorie:ISOR onderwerpen]]
{{#set:Alias=GeVS}}

Voeg het onderwerp ook toe aan de mogelijke waarden voor de eigenschap 'ISOR onderwerp'. Daarmee kunnen 'Beveiligingseisen' (normen) ingedeeld worden. http://noraonline.nl/index.php?title=Eigenschap:ISOR_onderwerp&action=formedit.

Nederlandse Overheid Referentie Architectuur.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Sandbox:CIP_invoer&oldid=39468"