3 Basisnormen ICT-infrastructuur
3.1 Inrichting
ICT-infrastructuur
Onder dit hoofd is de volgende nadere onderverdeling gemaakt: – architectuur; – beschikbaarheid; – technische integriteit; – logische toegangsbeveiliging; – documentatie en registratie. Deze normen hebben betrekking op het geheel van de ICT-infrastructuur of zijn generiek voor ICT-componenten.
3.1.1 Architectuur 1
Bij de inrichting van de ICT-infrastructuur wordt onderscheid gemaakt naar domeinen die elk een eigen beveiligingsniveau hebben, waarbij van elk domein is bepaald welke onderling samenhangende elementaire technische en procedurele beveiligingsmaatregelen zijn getroffen. Bepalend voor het onderscheid naar domeinen is onder meer: a het algemeen beleid inzake beveiliging; b het beveiligingsbelang van de toepassingen en gegevens; c de beheer- en beveiligingseigenschappen van de platforms; d het onderscheid naar ontwikkeling, acceptatietest, productie en beheer; e de toegankelijkheid tot gegevens en servers voor internen en externen;
31
Basisnormen Beveiliging en Beheer
f
2 3
32
4
ICT -infrastructuur
de wijze waarop de omgevingen worden beheerst (bijvoorbeeld beheer door eigen organisatie, beheer uitbesteed of onvertrouwde omgeving zoals internet of een testomgeving voor TIS-componenten). Van elk ICT-domein is bepaald welk type technische en/of beheersmatige maatregelen van toepassing zijn. Alle onderdelen van de ICT-infrastructuur voldoen in hun onderlinge samenhang aan de volgende eisen: a complexiteitsreductie van beheer door het netwerk hiërarchisch op te zetten, te segmenteren in kleinere subnetten en het beheer zoveel mogelijk volgens uniforme centrale regievoering – met eventuele decentrale uitvoering – te laten plaatsvinden; b standaardisatie door het aantal gelijktijdig aanwezige soorten, fabrikaten en versies van objecten te minimaliseren en de instellingen zoveel mogelijk te standaardiseren, afhankelijk van het beveiligingsniveau van de desbetreffende domeinen. Het beheer van de ICT-infrastructuur wordt ondersteund door de noodzakelijke geautomatiseerde hulpmiddelen op het gebied van de voor beveiliging belangrijke beheerprocessen; zie hoofdstuk 4. Bij de selectie van hulpmiddelen wordt rekening gehouden met de onderstaande criteria. Dit is geen triviaal probleem omdat sommige criteria strijdig kunnen zijn. Beheerhulpmiddelen zijn: a van een bewezen kwaliteit; zij zijn reeds binnen andere organisaties operationeel (proven technology); b van een bekende en betrouwbare leverancier afkomstig; c geïntegreerd, zodat zij onderling gegevens kunnen uitwisselen en van elkaars databases gebruik kunnen maken, ook kunnen zij verschillende aspecten van de ICT-infrastructuur via een gebruikersinterface weergeven; d in staat zoveel mogelijk componenten van de ICT-infrastructuur te ondersteunen; e in staat componenten van verschillende leveranciers te herkennen en te besturen; f eenvoudig schaalbaar, zodat zij kunnen meegroeien met de uitbreidingen van de infrastructuur;
3 Basisnormen
ICT -infrastructuur
g
5
passend bij de organisatorische structuur van de beheerafdeling (afdelingen, functiescheiding) en de (geografische) structuur van de ICT-infrastructuur (vestigingen, regio’s); h passend bij de mogelijkheden van de bestaande infrastructuur. In de architectuur van de ICT-infrastructuur is op hoofdlijnen expliciet gemaakt welke technische voorzieningen zijn getroffen in het kader van beschikbaarheid. Hierbij is aandacht besteed aan: a het gekozen beschikbaarheidsconcept (hot stand-by, cold standby, volledig redundante verwerking over twee locaties enzovoort); b het toepassen van clustertechnologie voor serversystemen; c de methoden om data veilig te stellen (off-site storage, mirroring over twee locaties, automatische verdeling van gegevens op verschillende schijven, enzovoort); d de methoden om datacommunicatie veilig te stellen: d1 dubbele bekabeling (denk bijvoorbeeld aan de enkele kabel naar de wijkcentrale); d2 alternatieve (logische) verbindingen (bijvoorbeeld door over te schakelen op modems of ISDN-kieslijnen bij uitval van de standaardverbinding); d3 alternatief gebruik van componenten, vervangende componenten; e de garantie dat er voldoende datacommunicatie, opslag en verwerkingscapaciteit beschikbaar is voor de uitwijkvoorzieningen; f De onderlinge afhankelijkheid tussen verschillende ICT-infrastructuurcomponenten, zoals het wide en local area network, centrale services als name services en authentication services (DNS, single sign-on toepassingen) en systeembeheer en -monitoringtoepassingen.
3.1.2 Beschikbaarheid 6
De apparatuur in de ICT-infrastructuur (met uitzondering van clients) is aangesloten op meervoudige voedingen ter vermijding van singlepoints-of-failure, een noodstroomvoorziening voor gecontroleerde beëindiging van de verwerking en een spanningsstabilisator.
33
Basisnormen Beveiliging en Beheer
7
34 8
9 10
ICT -infrastructuur
De kritieke apparatuur wordt aangesloten op een noodstroomvoorziening die bij wegvallen van de netspanning de aangesloten apparatuur na een korte onderbreking weer van stroom voorziet, bijvoorbeeld door middel van een dieselgenerator. Onder kritieke apparatuur wordt verstaan die apparatuur die noodzakelijk is voor het in de ‘lucht houden’van het netwerk, zoals bijvoorbeeld backbone routers, servers en operator console. Er zijn voldoende reserve exemplaren ter vervanging van de (kleinere) componenten in het netwerk aanwezig, met dien verstande dat: a indien één van de componenten het door een bepaalde reden begeeft, kan het vervangen worden zonder dat de productie hier veel last van heeft; b dergelijke componenten op voorraad zijn en niet eerst nog besteld hoeven te worden; c voor de grotere (en kostbaardere) componenten andere maatregelen zijn getroffen, zoals bijvoorbeeld het dubbel uitvoeren. NB. Met kleinere componenten wordt bedoeld bekabeling, routers, bridges, schijven en dergelijke. Er zijn technische maatregelen getroffen om de onbeschikbaarheid van servers te detecteren, zoals het automatisch controleren van aanwezigheid door het verzenden van controlesignalen (testberichten) die bevestigd moeten worden. Er zijn automatische herstart- en herconfiguratiemechanismen aanwezig. Er zijn maatregelen getroffen om eventuele congestie in het netwerk te detecteren en te kunnen oplossen, bijvoorbeeld via alternatieve routering.
3 . 1 . 3 Te c h n i s c h e i n t e g r i t e i t 11
Wijzigingen in standaardprogrammatuur die deel uitmaken van de ICT-infrastructuur worden vermeden. Indien wijzigingen in deze standaardprogrammatuur noodzakelijk worden geacht, wordt rekening gehouden met de volgende punten:
3 Basisnormen
ICT -infrastructuur
a
12
13 14
15 16
17
18
het risico dat ingebouwde beveiligingsmaatregelen en integriteitsprocessen gecompromitteerd kunnen worden; b eventuele noodzakelijke toestemming van de leverancier; c de mogelijkheid om de gewenste wijzigingen te verkrijgen van de leverancier, in de vorm van standaard programmaupdates; d de impact op de organisatie, wanneer deze verantwoordelijk wordt voor het toekomstige onderhoud van de programmatuur, als gevolg van de wijzigingen. Met betrekking tot het handhaven van de beveiliging van de services van de ICT-infrastructuur zijn er adequate rapportagefuncties ter verkrijging van informatie over: a gedetecteerde onregelmatigheden en potentiële pogingen tot inbraak op componenten of het netwerk; b de blijvende integriteit van de beveiligingsinstellingen van de componenten van de ICT-infrastructuur. Hierbij kan gebruik worden gemaakt van logging- en monitoringtools. TIS-componenten worden volgens de aanwijzingen van de leverancier geïnstalleerd, tenzij anders aangegeven in deze of meer gedetailleerde richtlijnen. TIS-componenten zijn onderling compatibel. Gebruikers of derden hebben geen mogelijkheid om servers of logbestanden te overbelasten, bijvoorbeeld door het genereren van valse berichten of boodschappen. De integriteit van onderlinge verwijzingen/relaties/indexen van bestanden, directories, tabellen kan worden vastgesteld. Systeemklokken zijn gesynchroniseerd om gegevens (logging, email, back-upbestanden, transacties) nauwkeurig te kunnen vastleggen. In productieomgevingen zijn geen applicatieontwikkeltools, vertalers (compilers) of broncode van toepassingsprogrammatuur aanwezig om te voorkomen dat productiegegevens met ongeautoriseerd vervaardigde programma’s worden verwerkt. Er kan enige vorm van integriteitscontrole (bijvoorbeeld door middel van checksums) plaatsvinden op essentiële systeemprogrammatuur, toepassingsprogrammatuur en configuratiebestanden.
35
Basisnormen Beveiliging en Beheer
19 20
21
22
23
36 24
ICT -infrastructuur
Er is scheiding tussen (bibliotheken, directoires met) systeemdata, toepassingsprogrammatuur en toepassingsdata. Zakelijke en wenselijke faciliteiten/functies van een TIS-component zijn geactiveerd. De toegang tot overbodige of ongewenste faciliteiten/functies is onmogelijk gemaakt zonder dat sprake is van modificatie van de component. Er zijn automatische virusscanners geïnstalleerd voor de relevante besturingssystemen bij het aanloggen en bestandsuitwisseling en er wordt zorggedragen voor regelmatige updates van de bestanden met viruskenmerken. Om ‘Trojaanse paarden’ te voorkomen, bevatten in het systeem vastgelegde toegangspaden geen directories die schrijfbaar zijn voor derden. Met name het opnemen van aanduidingen als ‘.’ (de huidige directory in Unix) in het pad kan betekenen dat dan programma’s in de current directory onbevoegd kunnen worden geactiveerd. Er wordt altijd van een betrouwbare release van programmatuur gebruikgemaakt, zodat geen vermijdbare bugs in het systeem aanwezig zijn. Vaak is dit de meest recente versie, maar niet altijd (bijvoorbeeld vanwege ‘kinderziektes’). Voorafgaande aan de installatie van programmatuur wordt vastgesteld dat de verpakking is verzegeld en dat de opslagmedia in de originele verzegelde verpakking zitten. Bij elektronische uitwisseling wordt gebruikgemaakt van geverifieerde digitale handtekeningen.
3 . 1 . 4 L o g i s c h e To e g a n g s b e v e i l i g i n g 25
26
27
De logische toegangsbeveiliging van servers en clients die deel uitmaken van één domein wordt zoveel mogelijk gecentraliseerd per domein. Het systeem van logische toegangsbeveiliging is op alle te beveiligen objecten (bijvoorbeeld applicaties, DBMS, views, tabellen, bestanden, directories en services) van toepassing. Het gebruik van tools, utilities kan het algemeen geldend systeem van logische toegangsbeveiliging niet doorbreken.
3 Basisnormen
28 29 30 31
ICT -infrastructuur
Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking. Beheertaken verlopen zoveel mogelijk via een menusysteem. Dit verkleint de kans op fouten van beheerders. Er worden verschillende aanlogprocedures gebruikt voor operationele servers en testsystemen. De standaard installatiewachtwoorden (van automatisch gegenereerde gebruikers) worden tijdens of direct na installatie verwijderd of gewijzigd.
3.1.5 Documentatie en registratie 32
33 34 35 36
37
De plaatsing van servers en aansluiting van interne netwerkcomponenten en netwerkkoppelingen met externe netwerken zijn duidelijk en schematisch gedocumenteerd, zodat de werking van de ICT-infrastructuur begrijpelijk is en de gevolgen van wijzigingen goed kunnen worden ingeschat. In de documentatie zoals onder het vorige punt bedoeld, blijkt tevens welke onderdelen extern worden beheerd. Voor het identificeren en registreren van de ICT-componenten wordt er een eenduidige naamgevingconventie gehanteerd. Alle fysieke TIS-componenten bevatten identificerende gegevens. De (beveiligings)instellingen van de TIS-componenten zijn zodanig gedocumenteerd dat duidelijk is waarom voor bepaalde instellingen gekozen is. Hierbij wordt speciale aandacht besteed aan defaultwaarden voor systeeminstellingen. Er bestaat altijd een juist en volledig overzicht van wijzigingen met betrekking tot de (beveiligings)instellingen van de TIS-component.
3.2 Servers 1
De logische toegangsbeveiliging van aanvullende besturingsprogrammatuur en bijbehorende bestanden (TP-monitoren, DBMS-en, beheer- en beveiligingstools en dergelijke) is zoveel mogelijk cen-
37
Basisnormen Beveiliging en Beheer
2
3 4
38
ICT -infrastructuur
traal geregeld binnen standaard beveiligingsprogrammatuur (single-point-of-administration). Gebruikers krijgen uitsluitend via de daartoe geëigende applicatieprogrammatuur toegang tot de databestanden van de primaire informatiesystemen in de productieomgeving en de acceptatietestomgeving, dat wil zeggen niet via systeemcommando’s, algemene programmatuur zoals editors, hulpprogramma’s (utilities) en kantoorautomatiseringstools. De besturingsprogrammatuur heeft de mogelijkheid zowel programma-, netwerk- als gebruikerssessies af te sluiten. De besturingsprogrammatuur biedt de volgende mogelijkheden tot beperking van de verbindingstijd als aanvullende beveiliging voor toepassingen met een verhoogd risico: a het gebruik van vooraf gedefinieerde perioden (time slots), bijvoorbeeld voor overdracht van groepen bestanden (batch file transfer) of regelmatig terugkerende interactieve sessies van korte duur; b beperking van de verbindingstijd tot de gebruikelijke kantooruren, indien er geen noodzaak is tot overwerk of uitbreiding van de werktijd.
3.3 Netwerk infrastructuur 1
2
Bij het ontwerp van het netwerk wordt rekening gehouden met aspecten als: a huidige en toekomstige transportvolumes; b huidige (en voorziene) functionele eisen ten opzichte van transportprotocollen, routeringsmogelijkheden, beheer- en beveiligingsmogelijkheden; kwaliteit van ondersteuning door leveranciers. Het netwerk maakt gebruik van bewezen standaardprotocollen die geen beveiligingsrisico’s bevatten of waarvan de beveiligingsrisico’s bekend en beheersbaar zijn of waarvan mogelijke zwakheden verborgen worden voor de echte communicatie (bijvoorbeeld VPN over onvertrouwde verbinding).
3 Basisnormen
3
4
ICT -infrastructuur
Netwerkcomponenten die binnen een ICT-domein onderling met elkaar communiceren, zijn zodanig ingesteld dat zij elkaar wederzijds authenticeren, zodat altijd met een vertrouwd koppelpunt wordt gecommuniceerd. Via het datatransport wordt geen onnodige informatie over het netwerk vrijgegeven die gebruikt kan worden voor inbraakpogingen (bijvoorbeeld: interne servernamen en IP-adressen).
3.4 Clients 1
2
Er is bepaald óf en wanneer een automatisch identificatiesysteem voor werkstations wordt gebruikt om verbindingen met specifieke locaties en/of mobiele apparatuur te verifiëren, om aan te geven of een bepaald werkstation bepaalde transacties mag uitvoeren of ontvangen en of het nodig is om een fysieke beveiliging aan te brengen op het werkstation, om de beveiliging van de werkstation-ID te waarborgen. De aanlogprocedure voor werkstations bevat de volgende elementen: a geen systeem- of toepassingsidentificatie tonen totdat het aanlogproces met succes is voltooid; b een algemene waarschuwing tonen dat het systeem uitsluitend toegankelijk is voor geautoriseerde gebruikers, tenzij het een publiek werkstation betreft met gelimiteerde functionaliteit; c tijdens het aanloggen geen hulpboodschappen weergeven die kunnen worden benut door onbevoegden; d de aanloginformatie pas verifiëren wanneer alle gegevens zijn ingevuld; indien een fout optreedt, geeft het systeem niet aan welke gegevens juist of onjuist zijn; e het toegestane aantal mislukte aanlogpogingen wordt beperkt (bij voorkeur tot drie pogingen), de volgende punten worden hierbij in overweging genomen: e 1 het vastleggen van mislukte pogingen; e 2 het invoeren van een vertraging voordat nieuwe aanlogpogingen worden toegestaan of het afwijzen van verdere pogingen zonder specifieke toestemming;
39
Basisnormen Beveiliging en Beheer
e3 e4
3
4
40
5
6
7
ICT -infrastructuur
het verbreken van de verbinding; het beperken van de toegestane maximum- en minimumtijd voor het aanloggen. Indien deze tijd wordt overschreden, dient het aanlogproces te worden beëindigd; f de volgende informatie wordt getoond, zodra het aanlogproces succesvol is voltooid: f 1 datum en tijd van de voorgaande succesvolle logon; f 2 informatie over eventuele mislukte aanlogpogingen sinds de laatste succesvolle logon. Het invoeren van een wachtwoord geschiedt via een vertrouwd pad (ref. Orange book, ITSEC en Common Criteria), waarbij de gebruiker erop kan vertrouwen dat het wachtwoord aan de echte authenticatieservice wordt gegeven (bijvoorbeeld de ctrl-alt-del combinatie in Windows 2000 heeft deze eigenschap). Er wordt gebruikgemaakt van schermbeveiligingsprogrammatuur, die na een bepaalde periode (3 minuten) het systeem bevriest en alle informatie op het scherm onleesbaar maakt en waarbij ingave van het wachtwoord nodig is om het systeem en de leesbaarheid van het scherm wederom te activeren. De gebruiker wordt de mogelijkheid geboden zelf op eenvoudige wijze de schermbeveiliging te activeren. Gebruikers hebben geen onbevoegde mogelijkheid om via werkstations (bijvoorbeeld via modems, diskettes, CD-ROM’s, DVD’s, USB, memory sticks) zelf programmatuur in te voeren. Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt eerst technisch afgedwongen dat toestemming aan de gebruiker wordt gevraagd. Bij het gebruik van mobiele computervoorzieningen, bijvoorbeeld notebooks, palmtops, laptops en mobiele telefoons kunnen extra maatregelen worden getroffen ten aanzien van fysieke bescherming, toegangsbeveiliging, cryptografische technieken, reservekopieën en virusbeveiliging.
3 Basisnormen
ICT -infrastructuur
3.5 Filterende netwerkkoppelingen 1
Bij de inrichting van de ICT-infrastructuur is afgewogen welke maatregelen kunnen worden getroffen om het dataverkeer tussen de domeinen te beperken en te beheersen. Methoden die zowel uit beheer- als uit beveiligingsoogpunt kunnen worden toegepast, zijn: a scheiding van het netwerk op fysiek niveau door aparte kabels, patchkasten enzovoort; in combinatie met fysieke overdracht via verplaatsbare opslagmedia; b het toewijzen van vaste lijnen of telefoonnummers; c het automatisch verbinden van poorten aan bepaalde toepassingssystemen of beveiligingsgateways; d het gebruik van specifieke toepassingsystemen en/of beveiligingsgateways verplicht stellen voor externe gebruikers; e actief beheer van de verbindingen tussen toegestane bronnen en communicatiemiddelen, door middel van beveiligingsgateways, bijvoorbeeld firewalls; f bridging: alleen doorlaten dataverkeer van segment A naar segment B (en vice versa) dat voor het andere segment bedoeld is, zodat alleen het noodzakelijke dataverkeer van het andere segment zichtbaar wordt binnen het eigen segment (en vice versa); g switching: hierbij kan een willekeurig aantal netwerksegmenten logisch van elkaar worden gescheiden (onzichtbaar gemaakt); h virtual LAN: een uitgebreide versie van switching. Hierbij kunnen (fysieke) netwerkadressen worden gegroepeerd tot (logische) ‘werkgroepen’. Vervolgens wordt het verkeer van één werkgroep logisch onzichtbaar gemaakt voor de andere werkgroepen; i routing: dataverkeer naar andere netwerken leiden door toekenning van verschillende (blokken van) netwerkadressen. Dataverkeer tussen de segmenten wordt verzorgd door een parametriseerbare router, welke daardoor ook bepaalde nietgeautoriseerde communicatiestromen kan blokkeren;
41
Basisnormen Beveiliging en Beheer
j
42
2
ICT -infrastructuur
protocollen: op verschillende segmenten wordt een verschillend netwerkprotocol gebruikt, waardoor de segmenten elkaars datastromen niet kunnen lezen. Communicatie tussen segmenten vindt plaats via gateways, die protocollen kunnen omzetten; k tunneling: door middel van versleuteling op systeemniveau kan een datastroom onleesbaar gemaakt worden (bijvoorbeeld de toepassing van een virtual private netwerk). Op dit moment wordt deze techniek voornamelijk gebruikt voor dataverkeer over internet, maar hij is ook toepasbaar binnen een bedrijfsnetwerk; l cryptomodems voor versleuteling van datastromen; m op toepasingsniveau via Public Key Infrastructures (PKI’s): met encryptiemethoden de uitwisseling van gegevens over netwerken beveiligen en de identiteit van de communicerende partijen authenticeren (zie hiervoor ook de Technische Beveiligingsstudie Encryptie van het Platform Informatiebeveiliging); n Firewall/guard: blokkeren van ongewenst dataverkeer. Hierbij kan op meer kenmerken worden geselecteerd, zoals: afzender, protocol, poort, soort verkeer, inhoud gegevens, enzovoort (zie hiervoor ook de PI-studie internet). Het valt buiten het kader van deze PI-studie om alle details en keuzemogelijkheden te beschrijven. Als richtlijn kan worden aangegeven dat een oplossing moet worden gekozen die voldoet aan de onderstaande criteria. Dit is geen triviaal probleem omdat verschillende criteria strijdig zijn: a de oplossing moet in de praktijk beproefd zijn en moet voldoen aan alle eisen (proven technology); b de oplossing moet gebruikmaken van gestandaardiseerde componenten, zodat incompatibiliteitsproblemen worden vermeden; c de oplossing moet aansluiten bij de organisatorische structuur (afdelingen, functiescheiding) en de geografische structuur (vestigingen, regio’s); d de oplossing moet aansluiten bij de externe klantstructuur (geografisch; extranet of publiek);
3 Basisnormen
ICT -infrastructuur
e
3
de oplossing moet zoveel mogelijk aansluiten bij de mogelijkheden van de bestaande ICT-infrastructuur binnen de organisatie; f de oplossing moet het gewenste beveiligingsniveau binnen ieder domein van de ICT-infrastructuur waarborgen, ook als binnen sommige domeinen van de ICT-infrastructuur een extra hoog niveau vereist is; g de beheersinspanning moet beperkt zijn, ook bij reorganisaties en verhuizingen. Een filterende netwerkkoppeling met een onvertrouwd domein, zoals internet, voldoet aan de volgende uitgangspunten: a bestaat altijd uit ten minste twee onafhankelijke en ongelijksoortigefilterende apparaten die na elkaar worden doorlopen. Bijvoorbeeld een router met daarachter een proxy; b maakt gebruik van tenminste één DMZ (= DeMilitairised Zone), het gebied tussen de twee onder punt a. genoemde filterende apparaten); c past Data Name Server/Network Address Translation toe in verband met beperkt zichtbaar maken van de interne structuur van het vertrouwde domein; d past maatregelen toe op het gebied van anti-virus en intrusion detection; e onderbreekt zonodig sessies bij openstaande verbindingen om denial-of-service aanvallen af te slaan; f maakt gebruik van proxy en reversed-proxy; g biedt faciliteiten voor versleutelde sessies; h beëindigt tunnels op de filterende netwerkkoppeling teneinde content scanning en intrusion detection mogelijk te maken; i maakt voor het uitvoeren van beheerhandelingen alleen gebruik van een daarvoor bestemde netwerkinfrastructuur; j maakt gebruik van een onderliggende TIS die zoveel mogelijk ontdaan is van faciliteiten die niet strikt noodzakelijk zijn voor het functioneren als filterende netwerkkoppeling, of wanneer dat niet mogelijk is waarvan alle niet strikt noodzakelijke faciliteiten zijn uitgeschakeld. Dit alles met het doel om de kans dat deze onnodige faciliteiten worden misbruikt, tot een minimum te beperken (stripping/hardening).
43
Basisnormen Beveiliging en Beheer
4
ICT -infrastructuur
Er is bepaald welke soorten datatransporten/datatransportfaciliteiten op welke momenten door de filterende netwerkkoppeling mogen worden doorgelaten. Alle datatransporten die niet aan deze voorwaarden (filterfuncties) voldoen worden geblokkeerd. Voorbeelden van mogelijke filterfuncties zijn: a alleen expliciet goedgekeurde protocollen (bijvoorbeeld email) worden doorgelaten; b data transporten / te transporteren bestanden met een niet leesbare inhoud of een mogelijk gevaarlijke inhoud (virussen) worden geblokkeerd; c bestandsoverdracht in één richting of in beide richtingen wordt geblokkeerd; d toegang tot het ‘achter’ de filterende netwerkkoppeling liggende netwerk is afhankelijk van tijdstip of datum.
3.6 Identificatie 44
1
2 3
4
5
Elke gebruiker is binnen het domein uniek identificeerbaar en herleidbaar tot één persoon, tenzij de toegang een publieke toegang zonder authenticatie betreft (bijvoorbeeld webservice). Voor uitgifte en beheer van een unieke user-id wordt – daar waar mogelijk – gebruikgemaakt van geautomatiseerde hulpmiddelen. Het stelsel van gebruikersnamen en gebruikersidentificaties is (automatisch) gerelateerd aan de registratie van eigen en ingehuurde medewerkers, met uitzondering van onpersoonlijke gebruikersidentificaties, waarvoor een apart beheerregiem bestaat; zie punt 6 hierna. Gebruik van het fysieke console voor valt buiten het toepassen van unieke persoonsgebonden gebruikersidentificaties, op voorwaarde dat deze in een beveiligde ruimte staat. Door de leverancier van een TIS-component voorgedefinieerde gebruikersidentificaties met bevoegdheden op systeemniveau (system, root, supervisor) worden uitsluitend in noodzakelijke gevallen gebruikt. Inloggen op deze gebruikersidentificaties verloopt via een enveloppeprocedure; voor reguliere werkzaamheden wordt een persoonlijk gebruikersidentificatie gebruikt.
3 Basisnormen
6
7
8
9
10 11
ICT -infrastructuur
Onpersoonlijke gebruikersidentificaties ten behoeve van beheeren exploitatiedoeleinden voldoen aan de volgende voorwaarden: a deze zijn als zodanig in de servers herkenbaar in verband met specifieke beheereisen; b er wordt een centrale registratie bijgehouden, waaruit blijkt: b 1 voor welke ICT-component de gebruikersidentificatie wordt gebruikt; b 2 wie eigenaar is; b 3 waarvoor en hoe vaak deze gebruikersidentificatie wordt gebruikt; b 4 of er afwijkende instellingen gelden voor authenticatie en zo ja welke. Er wordt zoveel mogelijk gebruikgemaakt van standaard defaultwaarden (profielen) voor de attributen bij de initialisatie van gebruikers. Ongebruikte gebruikersidentificaties kunnen automatisch worden gedeactiveerd (na één maand) en daarna (na drie maanden) verwijderd, ex-medewerkers of ex-inhuurkrachten na de expiratiedatum van het contract. Automatische toegang (dat wil zeggen zonder gebruikersidentificatie en authenticatie handmatig in te voeren) is niet mogelijk, tenzij het systeem gebruikmaakt identificatie- en authenticatiegegevens die in een eerdere verwerkingsfase binnen het domein wel aan deze norm hebben voldaan. Gebruikers kunnen slechts éénmalig aanloggen op een server of netwerkdienst. Logontijden voor gebruikers worden beperkt tot de gebruikelijke werktijden met enige marge, zowel per dag als in de week.
3.7 Authenticatie (Authenticatie kan plaatsvinden op basis van smartcard met sleutel, tokens in combinatie met pincode, hardwaretoken/smartcard in combinatie met biometrie, one-time passwords of gewone wachtwoorden. Vooralsnog wordt onder dit hoofd alleen authenticatie door middel van wachtwoorden behandeld.)
45
Basisnormen Beveiliging en Beheer
1
46
2
3
4
ICT -infrastructuur
Er is een wachtwoordbeleid geïmplementeerd dat het achterhalen van wachtwoorden economisch onrendabel en praktisch onhaalbaar maakt: a gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen; in verband met typefouten is er een bevestigingsprocedure; b gebruikers zijn gedwongen het initiële wachtwoord te wijzigen bij de eerste aanmelding; c hergebruik van de vijf laatste werkelijk gebruikte wachtwoorden wordt voorkomen; d wachtwoorden voldoen aan de volgende eisen; d 1 bevat minimaal zes posities; d 2 een teken komt niet vaker dan twee maal voor; d 3 omvat op z’n minst één letter en één cijfer; d 4 verschilt in minimaal de helft van de tekens van het vorige wachtwoord; d 5 is geen ‘triviaal’ woord, zoals ‘geheim’, identiek aan het user-id, een palindroom of overeenkomen met of anagram zijn van een keyboard-volgorde van tekens; d 6 moet na minimaal na 90 dagen gewijzigd worden; e na maximaal drie keer een foutief wachtwoord te hebben ingebracht wordt het user-id minimaal 30 minuten geblokkeerd; f wachtwoorden behorend bij gebruikers met systeembeheerbevoegdheden, voldoen naast de gewone eisen aan gebruikerswachtwoorden aan zwaardere eisen: acht posities, vaker wisselen, minimaal 1 speciaal teken. Wachtwoordconventies worden bij voorkeur automatisch bij de eerste inbreng gecontroleerd. Indien dit niet mogelijk is, wordt de kwaliteit met behulp van tools – voor zover mogelijk – periodiek achteraf gecontroleerd. Wachtwoorden worden in versleutelde vorm opgeslagen, waarbij bijvoorbeeld gebruik wordt gemaakt van een één-weg (niet omkeerbaar) versleutelingsalgoritme. Indien toepassingsystemen eigen authenticatiemechanismen toepassen, worden wachtwoordbestanden gescheiden opgeslagen van de gegevens.
3 Basisnormen
5 6 7
ICT -infrastructuur
Wachtwoorden zijn niet leesbaar via beeldscherm, output of bestanden. Wachtwoorden worden versleuteld over het netwerk getransporteerd. Indien gebruikers zich vanaf een onvertrouwd communicatiepunt authenticeren, worden extra maatregelen toegepast, tenzij de verbinding juist bedoeld is voor publieke toegang zonder authenticatie. Enkele aanvullende methoden zijn: a gebruik van biometrische/cryptografische technieken, hardware tokens of een vraag- en antwoord protocol; b gebruik van vaste huurlijnen of een faciliteit om netwerk gebruikersadressen te controleren om zekerheid over de oorsprong van verbindingen te verkrijgen; c dial-back modems plus garantie dat de verbinding aan de kant van de organisatie daadwerkelijk verbroken wordt (bijvoorbeeld terugbellen op een andere lijngroep die alleen voor uitgaand verkeer geschakeld staat).
3.8 Autorisatie 1 2 3 4 5 6
7
Toegangsrechten worden toegekend op basis van permissies en niet op basis van restricties (niets mag, tenzij). Autorisaties worden toegekend op basis van het ‘need-to-know’beginsel. Autorisaties worden via groeperingsmechanismen aan gebruikers toegekend. Gebruikersgroepen zijn uniek gedefinieerd binnen een domein. Voor groepering van rechten en gebruikers geldt een naamgevingconventie die binnen het hele domein van toepassing is. Er worden zo weinig mogelijk rechten gegeven aan algemene groepen als ‘guest’, ‘public’ of ‘everyone’. Deze groepen kunnen slechts de functioneel noodzakelijke informatie over het systeem te weten komen, bijvoorbeeld door beperkte leesrechten toe te kennen. Rollen, accounts of profielen met systeemprivileges worden expliciet geactiveerd voor een specifieke actie. Er is tevens een voorzie-
47
Basisnormen Beveiliging en Beheer
8
9
48
10
11
12
13 14
ICT -infrastructuur
ning waarmee dergelijke accounts gedeactiveerd kunnen worden, zodanig dat ze geen beveiligingsrisico meer vormen. Autorisaties voor beheertaken dienen uitsluitend voor beheertaken gebruikt te worden. Beheerders gebruiken voor alle andere werkzaamheden normale gebruikersautorisaties met minder kans op compromitage en met minder risico’s. De toekenning van rechten is zo minimaal mogelijk. Als het platform dan wel de server bijvoorbeeld toestaat om gescheiden executie- en leesrechten toe te kennen, worden voor programmabestanden geen leesrechten toegekend. Andere voorbeelden: a tijdelijke (spool)bestanden (bijvoorbeeld printgegevens) zijn niet voor onbevoegden toegankelijk; b rechten van beheerfuncties en beheerhulpmiddelen worden beperkt tot ‘uitvoeren’; c rechten van bestanden met versleutelde wachtwoorden zijn ontoegankelijk met uitzondering van specifieke systeemprogramma’s voor wachtwoordmanagement; d rechten tot het benaderen van bestanden met autorisatiegegevens worden beperkt tot ‘wijzigen’. Gebruikers verkrijgen uitsluitend via de daartoe geëigende applicatieprogrammatuur toegang tot de databestanden; dit is uiteraard niet van toepassing op kantoorautomatiseringssystemen. Aan gebruikers worden beperkingen opgelegd ten aanzien van het verbruik van gezamenlijke systeemresources, dat wil zeggen in ieder geval ten aanzien van opslagcapaciteit, indien mogelijk ten aanzien van processorcapaciteit. De operationeel beheerder is niet in staat de instellingen en bestanden van de loggingprogrammatuur te wijzigen of te verwijderen. Tijdelijke bedoelde rollen, accounts of profielen worden voorzien van een expiratiedatum. Het is voor de beheerders eenvoudig mogelijk om van een bepaald account de toegekende rechten op te vragen, evenals welke accounts lid zijn van een bepaalde groep.
3 Basisnormen
ICT -infrastructuur
3.9 Encryptie Aan de Technische Beveiligingsstudie Encryptie van PI zijn de volgende basisnormen ontleend: 1 Algoritmen: het type algoritme (symmetrisch versus asymmetrisch) en de sleutellengte zijn afgestemd met het beveiligingsdoel en de mate van beveiliging van de data. 2 Flexibiliteit: de encryptietoepassing kan met verschillende sleutellengten werken en is zo neutraal mogelijk voor wat betreft besturingssysteem, toepassing en (indien mogelijk) leverancier. 3 Integratie: encryptietoepassingen leveren ondersteuning aan bestaande ICT-componenten en zijn niet verstorend ten opzichte van systeemondersteunende hulpmiddelen zoals ‘disk defragmentatie programmatuur’ en antivirus applicaties. 4 Transparantie: de gebruiker moet op een eenvoudige en veilige manier zijn of haar sleutels kunnen beheren en bijvoorkeur locatieonafhankelijk zijn. 5 Hulpmiddelen sleutelbeheer: encryptietoepassingen hebben voldoende beheermogelijkheden, onder andere voor (semi)centraal of decentraal gebruik en hebben master-key-voorzieningen. 6 Authenticatie methode: de authenticatie is te integreren in het systeem of de applicatie zonder aan vertrouwelijkheid, integriteit of beschikbaarheid in te boeten. De methode kan betrekking hebben op invoer van een wachtwoord of door middel van een token, al dan niet in combinatie met een wachtwoord. 7 Standaarden: bij vercijfering van de communicatie conformeren de gebruikte oplossingen en ICT-componenten zich aan open standaarden. 8 Beheerinspanning: de encryptietoepassingen zijn ten aanzien van eventueel certificaat- en firewallbeheer in overeenstemming met het belang van de uitgewisselde gegevens. 9 Toegang voor meer gebruikers: bij de vercijfering van opgeslagen gegevens ondervinden gebruikers geen hinder als zij, elk met hun eigen omgeving, toegang hebben tot deze gegevens. 10 Multilevel toegang: de encryptieoplossing ondersteunt differentiatie in toegang tot de verschillende gegevens.
49
Basisnormen Beveiliging en Beheer
11
12
ICT -infrastructuur
Beschikbaarheid: bij uitval of beschadiging van systeemcomponenten of het gehele systeem wordt een veilige situatie achtergelaten en is het met de gekozen oplossing mogelijk de vercijferde gegevens te herstellen. Integriteit: de encryptieoplossing laat geen restanten van gegevens onvercijferd achter, is bestand tegen een fysieke inbraak op het opslagsysteem en stelt reguliere virusdetectie software in staat een bestand te controleren.
3.10 Monitoren/loggen 1
2
50
Alle activiteiten met de aanduiding (M) van de navolgende basisnorm inzake logging komen in aanmerking voor het monitoren (= online bewaken aan de hand van gegenereerde signalen). De volgende activiteiten maken deel uit van de logging: a alle handelingen van beheerfuncties (subjecten) op infrastructuurcomponenten die wijzigingen in de configuratie tot gevolg hebben (indien deze norm volledig kan worden geïmplementeerd, impliceert dat tevens de normen b tot en met f); b alle handelingen op risicovolle objecten, zoals systeembestanden en instellingen; (M) c het gebruik van risicovolle systeemcommando ‘s, inclusief parameters, systeemhulpprogramma’s en editors;. (M selectief) d de uitvoering van de back-up activiteiten; e het toevoegen van (programma)bestanden op centrale servers (niet de KA-omgeving); f het wijzigen van autorisaties, tenzij dit wordt verzorgd door het toegangsautorisatiesysteem; g pogingen tot het gebruik van niet-operationele diensten die risico’s inhouden, zoals bijvoorbeeld tftp, finger, Usenet news bij Unix; (M) h alle geweigerde aanlogpogingen en andere pogingen om toegang te krijgen tot individuele onderdelen van het systeem en de gegevens;
3 Basisnormen
ICT -infrastructuur
i
3
4
verstoringen in de beschikbaarheid van programmatuur (waaronder starten en stoppen van programmatuur) worden gelogd; (M bij decentrale servers en vitale TIS-componenten) j ernstige meldingen betreffende (bijvoorbeeld): j 1 constatering van een virus, worm, Trojaanse paard of andere malware; j 2 veel foutieve inlogpogingen in korte tijd; j 3 veel pogingen tot overtredingen van autorisatiebevoegdheid in korte tijd; j 4 wijzigingen van systeeminstellingen of uitvoeren van kritieke systeemhandelingen; j 5 stoppen van security services; j 6 poortscan (rammelen aan de deur) of andere testen van een mogelijke ‘vulnerability’; j 7 gerichte aanvallen zoals denial of service en synflood attacks worden automatisch gedetecteerd en leiden tot automatische alarmering van de beheerorganisatie; (M) k het gebruik van programma’s waarmee incidentele bestandsmanipulaties worden uitgevoerd (niet in een KA-omgeving); l van alle geslaagde inbelverbindingen de gegevens van de gebruikers-ID’s, data en tijdstippen van aanloggen en afmelden, zo mogelijk de identiteit van het werkstation of de locatie; m van alle niet-geslaagde inbelverbindingen de gegevens van de gebruikers-ID’s, data en tijdstippen, en dergelijke voor zover mogelijk; n alle beheerhandelingen van inbelvoorzieningen. De hoeveelheid gegenereerde logging is door de beveiligingsfunctionaris (dan wel door deze gedelegeerd aan beheerder(s)) instelbaar. Het is mogelijk om de handelingen van één bepaalde persoon of applicatie in extra detail te loggen. Noot: een dergelijke activiteit kan op gespannen voet staan met de Wet Bescherming Persoonsgegevens, Wet Ondernemingsraden, andere algemene wetgeving en rechtelijke uitspraken. Toepassing vereist vooraf zorgvuldig nagaan van de wettelijke vereisten. De logging bevat geen beveiligingsgegevens waarmee beheerders – of anderen die logginggegevens kunnen raadplegen – onbevoegd
51
Basisnormen Beveiliging en Beheer
5 6
7
52
ICT -infrastructuur
systeemactiviteiten kunnen uitvoeren (wachtwoorden, inbelnummers en dergelijke). De volledigheid van de logging kan worden vastgesteld. Om gebruik van logging ten behoeve van beveiliging en beheer mogelijk te maken, is er loganalyse- dan wel rapportageprogrammatuur beschikbaar. Loggingbestanden worden twee jaar bewaard.
