Beveiliging Eisen

Uit NORA Online
Naar navigatie springen Naar zoeken springen

Let op: Deze pagina moet nog herzien worden in het kader van het RFC Bindende architectuurafspraken 2022 dat per 1-1-2023 ingaat. Er is een backlog van informatieve pagina's die geraakt worden door deze ingrijpende veranderingen.

Help mee bij het herzien en actualiseren van deze pagina: nora@ictu.nl

Beveiliging
Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging

Een beheersmaatregel is een verbijzondering van een (ArchiMate) eis (requirement). Beheersmaatregelen realiseren Afgeleide principes.

Op deze pagina vindt u een overzicht van de in NORA beschreven beheersmaatregelen per thema.

Thema Beveiliging/Continuïteit[bewerken]

Thema Beveiliging/Systeemintegriteit[bewerken]

  • Beheersing van verwerkingen
    De technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is.
  • Beperking van ongebruikte functies (hardening)
    Infrastructurele programmatuur, die vitale beveiligingsfuncties vervult, bevat geen onnodige en ongebruikte functies.
  • Beperking van systeemhulpmiddelen
    Het gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en toepassingssoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt.
  • Geautoriseerde mobiele code
    Als gebruik van ‘mobile code’ wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde ‘mobile code’ functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niet-toegelaten ‘mobile code’ wordt uitgevoerd.
  • Handhaven technische functionaliteit
    De door de leverancier bepaalde technische functionaliteit van programmapakketten en infrastructurele programmatuur blijft gehandhaafd.

Thema Beveiliging/Administratieve controle[bewerken]

  • Bestandscontrole
    Kritische gegevens (bijvoorbeeld identificerende en financiële gegevens), die in verschillende gegevensverzamelingen voorkomen, worden periodiek met elkaar vergeleken.
  • Controles voor risicovolle bedrijfsprocessen
    Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen.
  • Functie- en processcheiding
    Niemand in een organisatie of proces mag in staat worden gesteld om een gehele procescyclus te beheersen.
  • Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen
    In toepassingsprogrammatuur zijn geen functies werkzaam, waarvoor kwalitatief betere generieke voorzieningen beschikbaar zijn, zoals die voor identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie.
  • Invoercontrole
    Alle ingevoerde gegevens vanuit een systeemvreemde omgeving worden op juistheid (J), tijdigheid (T) en volledigheid (V) gecontroleerd voordat verdere verwerking plaatsvindt. Bij batchgewijze verwerking heeft de controle op de volledigheid ook betrekking op het aantal posten of mutaties dat deel uitmaakt van de batch.
  • Uitvoercontrole
    De uitvoerfuncties van programma's maken het mogelijk om de juistheid, tijdigheid en/of volledigheid van de gegevens te kunnen vaststellen.
  • Validatie van gegevensverwerking
    In toepassingsprogrammatuur worden geprogrammeerde controles opgenomen, gericht op invoer, verwerking en uitvoer.
  • Verwerkingsbeheersing
    Toepassingsprogrammatuur biedt mogelijkheden om te constateren dat alle ter verwerking aangeboden invoer juist, volledig en tijdig is verwerkt.

Thema Beveiliging/Scheiding[bewerken]

  • Encryptie
    De communicatie en de opslag van gegevens die buiten de invloedsfeer van de logische en fysieke toegangsbeveiliging maar wel binnen de eigen beheeromgeving vallen of waarvoor deze maatregelen onvoldoende zijn, zijn door encryptie beschermd.
  • Scheiding van systeemfuncties
    De technische infrastructuur is in zones ingedeeld om isolatie van onderdelen hiervan mogelijk te maken.
  • Sleutelbeheer
    De vertrouwelijkheid en integriteit van geheime cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag en vernietiging van de sleutels.
  • Zonering
    De indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering.

Thema Beveiliging/Filtering[bewerken]

Thema Beveiliging/Transactie[bewerken]

  • Integriteitscontrole van het bericht
    De integriteit (authenticiteit) van het verzonden bericht wordt vastgesteld met behulp van een elektronische handtekening.
  • Wederzijdse authenticatie
    Alvorens een transactie mogelijk is, wordt de identiteit van de ontvanger of ontvangend systeem, en de identiteit van de zender van het bericht vastgesteld door middel van authenticatie.

Thema Beveiliging/Toegang[bewerken]

  • Authenticatie (beheersmaatregel)
    Alvorens een systeem toegang verleent, wordt de identiteit van de gebruiker of ander subject dat om toegang vraagt, vastgesteld door middel van authenticatie.
  • Autorisatie (beheersmaatregel)
    Autorisaties zijn ingesteld op basis van ontwerp- of systeemdocumentatie, waarin aangegeven is welke rechten in welke gebruikersgroepen worden ondergebracht.
  • Identificatie (beheersmaatregel)
    Alle toegangsvragers (gebruikers) tot gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening.

Thema Beveiliging/Registratie controle rapportering[bewerken]

  • Controle en signalering
    Instellingen van functies die voor de informatiebeveiliging van belang zijn en wijzigingen daarin worden automatisch gecontroleerd.
  • Rapportering
    Logbestanden worden periodiek geanalyseerd en gecorreleerd teneinde beveiligingsincidenten dan wel de juiste werking van het systeem te detecteren.
  • Registratie (logging)
    Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging.

Nederlandse Overheid Referentie Architectuur.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Beveiliging_Eisen&oldid=67655"