Zonering

Uit NORA Online
Ga naar: navigatie, zoeken

Let op: Deze pagina moet nog herzien worden in het kader van het RFC Bindende architectuurafspraken 2022 dat per 1-1-2023 ingaat. Er is een backlog van informatieve pagina's die geraakt worden door deze ingrijpende veranderingen.

Help mee bij het herzien en actualiseren van deze pagina: nora@ictu.nl

Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. Hieraan is toegevoegd de Information Security Object Repository) (ISOR) van het CIP (Centrum Informatiebeveiliging en Privacybescherming).

Contactpersonen: Annemieke de Wit en Guus van den Berg.

annemieke.dewit@cip-overheid.nl en guus.vandenberg@cip-overheid.nl


Zonering.png
Zonering is een eis (Beheersmaatregel)

Status: Concept

Specialiseert: Scheiding van systeemfuncties
Thema: Beveiliging/Scheiding
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 10.1.4, 10.9.3, 11.4.4, 11.4.5, 11.4.7, 11.6.2, ISO 27001:2013 13.1.3

Eis: De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.

Realiseert

Zonering is een uitwerking van de volgende andere beheersmaatregelen:

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Zonering:

  1. Elke zone heeft een vastgesteld uniek beveiligingsdoel.
  2. Elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie (m.u.v. onvertrouwde derden).
  3. Een zone heeft een gedefinieerd beveiligingsniveau. D.w.z. een zone kent een gedefinieerd stelsel van samenhangende beveiligingsmaatregelen.
  4. De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone.
  5. Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak.
  6. Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  7. Poorten diensten en soortgelijke voorzieningen geïnstalleerd op een computer of netwerkvoorziening die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  8. Er zijn aparte zones voor Ontwikkeling, Test, Acceptatie en Productie. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  9. Vitale bedrijfsgegevens worden in een aparte zone geplaatst.
  10. De experimenteeromgeving (laboratorium/Sand box) is een fysiek gescheiden zone.
  11. Beheer van zones vindt plaats vanuit een eigen zone.
  12. IT-voorzieningen (zoals mobiele clients en werkstations) die buiten de fysieke toegangsbeveiliging van de gebouwen van de organisatie zijn opgesteld, worden in de externe zone (externe werkplek) gepositioneerd.
  13. Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  14. Van werkstations wordt bepaald welke onderdelen tot welke zone behoren gelet op de risico’s van het onbevoegd ontsluiten van data via de verschillende soorten poorten. Om deze reden kan lokale opslag van gegevens op de vaste schijven van werkstations (bijvoorbeeld laptops) en opslag op verwijderbare opslagmedia worden geblokkeerd.
  15. Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone.
  16. Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten externe zones (vertrouwde derden) gebruikt.
  17. In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan. (BIR (Baseline Informatiebeveiliging Rijksdienst))

Gerelateerde beveiligingspatronen

De volgende beveiligingspatronen zijn gerelateerd aan Zonering:

Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Zonering: