Beveiliging/metamodel

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Het katern beveiliging is opgebouwd volgens onderstaand model van principes, eisen en maatregelen. Op het hoogste niveau staan de Basisprincipes, aangegeven met het ArchiMate doel-symbool. Daaronder de afgeleide principes waarvan er voor beveiliging in totaal vijf zijn gedefinieerd en die het hele vakgebied beveiliging afdekken. Deze principes worden gerealiseerd door eisen, die in de ISO-2700x documenten Beheersmaatregelen genoemd worden. Beheersmaatregelen geven aan WAT er moet gebeuren om risico’s te reduceren. Per beheersmaatregel zijn er één of meerdere implementatierichtlijnen geformuleerd, die eveneens in de vorm van een eis specificeren WAT er moet gebeuren.

De termen beheersmaatregel en implementatierichtlijn kunnen de indruk wekken van een maatregel, die aangeeft HOE je een risico reduceert. Echter, zowel de principes als de eisen in dit model geven aan WAT er moet gebeuren. Met de maatregelen, die de eisen invullen, wordt op de verschillende lagen van de architectuur bepaald en aangegeven ‘HOE’ en ‘WAARMEE’ risicoreductie plaatsvindt.


Metamodel Beveiliging


Principes en eisen

Onderstaand model schetst de invulling van het metamodel met basisprincipes Betrouwbaar en Vertrouwelijk en de onderliggende vijf afgeleide principes voor beveiliging.

De eisen, bestaande uit beheersmaatregelen en implementatierichtlijnen, zijn in deze figuur gebundeld in de acht functionele thema’s Transactie, Continuïteit, Systeemintegriteit, Administratieve controle, Scheiding, Filtering, Toegang en Registratie, controle en rapportering. Deze thema’s komen overeen met de beveiligingsfuncties, die de basis vormen van de toepassingspatronen.

Basisprincipe: BetrouwbaarBasisprincipe: VertrouwelijkAfgeleid principe: OnweerlegbaarheidAfgeleid principe: BeschikbaarheidAfgeleid principe: IntegriteitAfgeleid principe: VertrouwelijkheidAfgeleid principe: ControleerbaarheidThema TransactieThema ContinuïteitThema SysteemintegriteitThema Administratieve controleThema ScheidingThema FilteringThema ToegangThema Registratie, controle en rapporteringPrincipesEnEisenBeveiliging.png


Wanneer we inzoomen op een bepaald thema zoals Continuïteit, dan zien we uit welke eisen deze functioneel is opgebouwd. Het zijn drie beheersmaatregelen: Vermeervoudiging van systeemfuncties, Herstellen van bewerkingen en Voorspellen van onderbrekingen. Per beheersmaatregel zijn altijd één of meer implementatierichtlijnen gedefinieerd, die als het ware ‘de hoogte van het hek’ (de norm) bepalen voor de betreffende beheersmaatregel.


Overzicht Continuïteit
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen