Zonering

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Zonering.png
Zonering is een eis (Beheersmaatregel)

Status: Concept

Specialiseert: Scheiding van systeemfuncties
Thema: Beveiliging/Scheiding
Bron: BIO (Baseline Informatiebeveiliging Overheid), NEN-ISO/IEC 27001,

BIO v.104 11.1.1, 12.1.4, 12.2.1, 13.1.1, 13.1.2, 13.1.3

Eis: De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.

Realiseert

Zonering is een uitwerking van de volgende andere beheersmaatregelen:

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Zonering:

  1. Elke zone heeft een vastgesteld uniek beveiligingsdoel.
  2. Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie (m.u.v. onvertrouwde derden).
  3. Een zone heeft een gedefinieerd beveiligingsniveau. D.w.z. een zone kent een gedefinieerd stelsel van samenhangende beveiligingsmaatregelen.
  4. De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone.
  5. Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak.
  6. Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  7. Poorten diensten en soortgelijke voorzieningen geïnstalleerd op een computer of netwerkvoorziening die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  8. Er zijn aparte zones voor Ontwikkeling, Test, Acceptatie en Productie. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  9. Vitale bedrijfsgegevens worden in een aparte zone geplaatst.
  10. De experimenteeromgeving (laboratorium/Sand box) is een fysiek gescheiden zone.
  11. Beheer van zones vindt plaats vanuit een eigen zone.
  12. IT-voorzieningen (zoals mobiele clients en werkstations) die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld, worden in de externe zone (externe werkplek) gepositioneerd.
  13. Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  14. Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten. Om deze reden kan lokale opslag van gegevens op de vaste schijven van werkstations (bijvoorbeeld laptops) en opslag op verwijderbare opslagmedia worden geblokkeerd.
  15. Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone.
  16. Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt.
  17. In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan. (BIR (Baseline Informatiebeveiliging Rijksdienst))

Gerelateerde beveiligingspatronen

De volgende beveiligingspatronen zijn gerelateerd aan Zonering:

Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Zonering: