Zonering
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Zonering is een eis (Beheersmaatregel) Status: Concept Specialiseert: Scheiding van systeemfuncties BIO v.104 11.1.1, 12.1.4, 12.2.1, 13.1.1, 13.1.2, 13.1.3 |
Eis: De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.
Realiseert
Zonering is een uitwerking van de volgende andere beheersmaatregelen:
Implicaties
De volgende implementatierichtlijnen zijn een uitwerking van Zonering:
- Elke zone heeft een vastgesteld uniek beveiligingsdoel.
- Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie (m.u.v. onvertrouwde derden).
- Een zone heeft een gedefinieerd beveiligingsniveau. D.w.z. een zone kent een gedefinieerd stelsel van samenhangende beveiligingsmaatregelen.
- De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone.
- Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak.
- Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Poorten diensten en soortgelijke voorzieningen geïnstalleerd op een computer of netwerkvoorziening die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Er zijn aparte zones voor Ontwikkeling, Test, Acceptatie en Productie. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Vitale bedrijfsgegevens worden in een aparte zone geplaatst.
- De experimenteeromgeving (laboratorium/Sand box) is een fysiek gescheiden zone.
- Beheer van zones vindt plaats vanuit een eigen zone.
- IT-voorzieningen (zoals mobiele clients en werkstations) die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld, worden in de externe zone (externe werkplek) gepositioneerd.
- Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
- Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten. Om deze reden kan lokale opslag van gegevens op de vaste schijven van werkstations (bijvoorbeeld laptops) en opslag op verwijderbare opslagmedia worden geblokkeerd.
- Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone.
- Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt.
- In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan. (BIR (Baseline Informatiebeveiliging Rijksdienst))
Gerelateerde beveiligingspatronen
De volgende beveiligingspatronen zijn gerelateerd aan Zonering:
Gerelateerde beschouwingsmodellen
De volgende beschouwingsmodellen zijn gerelateerd aan Zonering:
- Beschouwingsmodel client
- Beschouwingsmodel draadloze netwerken
- Beschouwingsmodel netwerk
- Beschouwingsmodel printer
- Beschouwingsmodel server
- Beschouwingsmodel servervirtualisatie
- Beschouwingsmodel zonering