Tactisch Normenkader Beveiliging DWR
Versie: Datum:
1.0 1-10-2009
Tactisch normenkader beveiliging DWR / versie 1.0
Management samenvatting Dit Tactisch Normenkader Beveiliging DWR bevat de tactische beveiligingsnormen die gelden voor de ICT-voorzieningen van de Digitale Werkomgeving Rijk (DWR). Deze tactische normen zijn het bindende vertrekpunt voor de beveiligingsmaatregelen op operationeel niveau. In de Operationele Baseline is tevens een referentie opgenomen, zodat zichtbaar is welke normen zijn een specifieke operationele invulling hebben gekregen. Het tactisch normenkader is primair van toepassing op (en beperkt zich tot) generieke ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR desktop en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit normenkader zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. De indeling en inhoud zijn gebaseerd op die van de “NORA Normen Informatiebeveiliging ICTvoorzieningen” [noraibict], die momenteel ontwikkeld worden door de NORA werkgroep beveiliging en privacy. Daarnaast zijn eisen uit de Code voor Informatiebeveiliging opgenomen die betrekking hebben op de (beheer-)omgeving van de ICT-voorzieningen. De referenties naar de CvIB zijn opgenomen bij de normen in dit document. Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend: 1. 2. 3.
Dienstleverancier Systeemleverancier Netwerkleverancier
Per eis is aangegeven voor welke van bovenstaande rollen deze van toepassing is. Dit maakt het mogelijk om te bepalen welke subset van normen aan een leverancier dient te worden opgelegd. Bij het opstellen van het normenkader is er vanuit gegaan dat er één generiek basisbeveiligingsniveau geldt binnen de centrale DWR infrastructuur. Deze normen zijn in het kader met de kleur blauw aangegeven. Aan alle “blauwe normen” in dit document moet zijn voldaan worden om dit basisniveau te bereiken. In sommige gevallen kan het zijn dat er extra normen worden gesteld, bijvoorbeeld vanuit het gebruik van bepaalde informatiesystemen met een hoger beveiligingsniveau. Hierop vooruitlopend zijn in het document aanvullende “rode normen” opgenomen die in dat geval van kracht kunnen worden. Deze normen horen dus niet bij het basis beveiligingsniveau, maar worden van kracht als een dienst of systeem een hogere mate van beveiliging vereist. Let wel: deze “rode normen” gelden dan voor de generieke ICT voorzieningen van DWR, die noodzakelijk op een hoger niveau moeten worden gebracht. Het blijft de verantwoordelijkheid van de eigenaar van een informatiesysteem om op applicatieniveau maatregelen te implementeren die vereist zijn vanuit de ondersteuning van het bedrijfsproces.
2 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Dit normenkader heeft als uitgangspunt om te voldoen aan de WBP risicoklasse 2. De rode normen zijn de opstap om in de toekomst het beveiligingsniveau te kunnen verhogen. Hiermee wordt aansluiting gevonden met de reeds eerder opgestelde kaders. In opvolging van de door veel departementen geuite wens om een vertrouwelijkheidsniveau van „Departementaal Vertrouwelijk‟ in de basis te ondersteunen, zal een vervolgonderzoek plaatsvinden. Dit vervolgonderzoek maakt inzichtelijk in hoeverre het voorliggende normenkader dit niveau al kan ondersteunen, en in hoeverre aanvullende normen noodzakelijk zijn. Het is aannemelijk dat een aantal van de rode normen, voor zover zij betrekking hebben op het aspect vertrouwelijkheid, hierin kan voorzien.
3 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Versiebeheer Versie
Datum
Steller
Veranderingen/commentaar
0.1 0.2 0.3
14-4-2009 11-5-2009 14-5-2009
EO, TH TH, EO, AS BP
Update naar NORA 0.52 en context DWR. Integratie maatregelen voor leveranciers DWR. Toevoeging management summary & inleiding
0.9 0.91 0.92
16-5-2009 4-6-2009 20-7-2009
TH, EO, AS, BP SD, EO BP
Review en redactieslag door auteurs Verwerken review commentaar Overdracht naar DWR
0.99a-j 0.99k 1.0
4-8-2009 17-9-2009 1-10-2009
TM TM & LG LG
Verwerken commentaar externe review Verwerken laatste commentaar t.b.v. versie PB Definitieve versie, vastgesteld door PB, geen inhoudelijke aanpassingen
Auteur(s) AS EO
Andre Smulders Eddy Olk
TH BP TM
Tim Hartog Bert Jan te Paske Twan van der Meer
LG
Leon Grinwis
4 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Inhoudsopgave 1
2
Inleiding
7
1.1 Doel van het document 1.2 Afbakening
7 7
1.3 Doelgroep 1.4 Ontwikkeling document 1.5 Samenhang met andere documenten
9 9 9
1.6 Relatie VIR en VIR-BI 1.7 Opzet 1.8 Leeswijzer Beveiliging van ICT voorzieningen
10 11 12 14
2.1 Continuïteitsvoorzieningen 2.1.1 Redundante uitvoering van ICT-voorzieningen
14 14
2.1.2 Herstelbaarheid van verwerking 2.1.3 Bewaking en alarmering 2.2 Controle op informatieverwerking
15 16 17
2.2.1 2.2.2 2.2.3
Functiescheidingen Invoercontroles Uitvoercontroles
17 19 21
2.2.4 2.2.5 2.2.6
Verwerkingsbeheersing Bestandscontrole Afstemming met generieke ICT-voorzieningen
23 24 25
2.3 Scheiding: logische afscherming 2.3.1 Toepassen van versleuteling 2.3.2 Gebruik van robuuste standaard algoritmen 2.3.3 2.3.4 2.3.5
27 27 27
Gebruik van betrouwbare cryptografische producten Sleutellengte Exclusiviteit sleutels
28 28 29
2.4 Scheiding: zonering en grensbescherming 2.4.1 Indeling in zones 2.4.2 Reguleren van communicatie tussen en binnen zones (filtering)
30 30 32
2.5 Identificatie, Authenticatie, Autorisatie 2.5.1 Identificatie 2.5.2 Authenticatie
34 34 35
2.5.3 2.5.4 2.5.5
Sterke wachtwoorden Instellingen aanmelden op een systeem Autorisatie
35 37 39
2.5.6 2.5.7 2.5.8
Tegengaan onbedoeld gebruik autorisaties Minimaliseren rechten Beheerbaarheid
40 42 43
2.6 Vastlegging van gebeurtenissen 2.6.1 Aanmaken logbestanden 2.6.2 Integriteit logbestanden 2.6.3
Beschikbaarheid logbestanden
44 44 46 47
5 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.7 Controle, alarmering en rapportering 2.7.1 2.7.2 2.7.3
Automatische signalering Controle op beveiligingsinstellingen Analyse en rapportage
2.8 Systeemintegriteit 2.8.1 Modificatie, actualiteit en zwakheden 2.8.2 Mobile code (programmatuur die wordt overgedragen tussen 3
systemen) Beveiliging omgeving ICT voorzieningen 3.1 Beveiligingsmaatregelen met betrekking tot personeel 3.1.1 3.1.2 3.1.3
4 5 6
Voorafgaand aan het dienstverband Tijdens het dienstverband Beëindiging of wijziging van het dienstverband
48 48 49 49 50 50 51 52 53 53 54 54
3.2 Fysieke beveiliging en beveiliging van de omgeving 3.2.1 Beveiligde ruimten 3.2.2 Beveiliging van apparatuur
55 55 56
3.3 Rapportage en beheer van informatiebeveiligingsincidenten 3.3.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
58
3.3.2 Beheer van beveiligingsincidenten en -verbeteringen Referenties Afkortingenlijst Begrippenlijst
58 59 60 61 62
6 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
1 Inleiding Het voorliggende normenkader is een resultaat van het programma DWR (Digitale Werkomgeving Rijk). De doelstelling van DWR is het leveren van een uniforme digitale werkomgeving, ondersteund door een interdepartementale infrastructuur, die Rijksambtenaren toegang geeft tot alle informatie en functionaliteit die nodig is om hun taken alleen en in gezamenlijkheid te kunnen vervullen [progdwr]. Het programma DWR is gevormd door de bundeling van diverse lopende rijksbrede ICT-initiatieven, waaronder Rijksweb en GOUD. De door het programma DWR opgeleverde resultaten zullen in beheer worden genomen door een lijnorganisatie die verantwoordelijk wordt voor de levering van DWR-voorzieningen aan de afnemende departementen. “De Digitale Werkomgeving Rijksdienst biedt de rijksmedewerker op elk gewenst moment op elke plaats de voorzieningen om op veilige wijze te beschikken over de digitale informatie die hij voor zijn werk nodig heeft.”
1.1
Doel van het document
Het doel van dit document is om de partijen die betrokken zijn bij het tot stand komen, leveren en/of beheren van DWR-voorzieningen een overzicht te geven van de beveiligingseisen op tactisch niveau. Deze eisen zijn niet vrijblijvend en moeten door de betrokken partijen geïmplementeerd worden. De tactische eisen bepalen bindend de toegestane ruimte voor de uitwerking van beveiligingsmaatregelen op operationeel niveau. Uitgangspunt is dat het tactisch normenkader voor een periode van enkele jaren toepasbaar zal zijn. Gezien de dynamiek rondom DWR wordt geadviseerd om het normenkader tenminste jaarlijks te toetsen en waar nodig bij te stellen zodat wijzigingen in de opzet en scope van DWR hun weerslag krijgen in de te nemen beveiligingsmaatregelen.
1.2
Afbakening
De scope van dit tactisch normenkader wordt afgebakend door a. het niveau waarop de eisen zijn geformuleerd; b. waar de eisen toegepast dienen te worden (het bereik); c.
de beveiligingsaspecten waarop de eisen betrekking hebben.
7 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
(Rijks)overheid
Waarom
Strategie VIR VIR-BI NORA, MARIJ
Wat Hoe
Tactisch Normenkader Operationele Baseline
Tactisch Operatie
Diensten DWR Ad a. De eisen in dit normenkader zijn op tactisch niveau geformuleerd. De strategische kaders VIR, VIR-BI, NORA en MARIJ hebben hierbij als basis gediend. Tijdens het ontwikkeltraject gebleken dat er behoefte is aan een nadere invulling van deze strategische normen. De uitwerking hiervan zal in een ander traject opgepakt worden. De tactische normen kunnen op diverse manieren operationeel ingevuld worden. Deze invulling maakt geen deel uit van dit document, maar zijn beschreven in de Operationele Baseline DWR. Ook de eisen aan de organisatiestructuur die de operationele invulling moet faciliteren en toetsen aan het tactisch normenkader zijn geen onderdeel van dit document. Ad b. Het tactisch normenkader is primair van toepassing op (en beperkt zich tot) generieke ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR desktop en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit normenkader zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. Infrastructuren en componenten van afnemers kunnen mede bepalend zijn voor het algehele beveiligingsniveau van de DWR-voorzieningen. Om dit risico weg te nemen zijn er „aansluitvoorwaarden‟ opgesteld. Afnemers van DWR-voorzieningen moeten voldoen aan deze aansluitvoorwaarden.
8 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Ad c. De hoofdmoot van de eisen in dit normenkader heeft betrekking op de beveiliging van de ICTvoorzieningen van DWR. Het betreft hier vooral technische eisen. Daarnaast zijn eisen opgenomen aan de omgeving van de ICT-voorzieningen. Deze richten zich op hoe de omgeving van de ICT-voorzieningen dient te worden ingericht, bijvoorbeeld ten aanzien van fysieke beveiliging en procedures.
1.3
Doelgroep
De doelgroep van dit document is grofweg in tweeën te delen. De eerste groep bestaat uit partijen die op tactisch niveau verantwoordelijk zijn voor het stellen van beveiligingskaders en de controle op naleving hiervan. Hierbij kan worden gedacht aan productmanagers en systeemeigenaren van de diensten van DWR die verantwoordelijk zijn voor de levering van DWR-voorzieningen aan de afnemende departementen, en de inrichting en beheer van de onderliggende ICT uitbesteden. De tweede groep bestaat uit diegenen die betrokken zijn bij implementatie en beheer van deze voorzieningen. Het gaat hier om interne of externe leveranciers en beheerpartijen; deze dienen operationele maatregelen, zoals beschreven in de Operationele Baseline, te implementeren op basis van de in dit document beschreven tactische normen. Dit document zal tevens als referentie gebruikt worden door controlerende instanties.
1.4
Ontwikkeling document
Dit tactisch normenkader is het resultaat van de samenwerking van experts van departementen, DWR en TNO. De basis voor dit document is afkomstig van GOUD. Tijdens de ontwikkeling van het tactisch normenkader hebben afgevaardigden van alle departementen informatie geleverd om het document aan te laten sluiten bij de behoeften van de departementen. Als afsluiting hebben deze personen ook bijgedragen aan de finale review. Alle bemerkingen van deze review zijn verwerkt in het document
1.5
Samenhang met andere documenten
Het tactisch normenkader DWR is gebaseerd op het tactisch normenkader SBW [tnksbw] dat door het project GOUD is opgesteld. De scope is uitgebreid tot het geheel van de DWRvoorzieningen. Dit normenkader zal het GOUD normenkader SBW vervangen. Het normenkader GOUD komt hiermee te vervallen1. Het Normenkader Informatiebeveiliging Rijksweb [nir] bevat de normen voor het waarborgen van een adequaat niveau van beveiliging van Rijksweb (nu DWR). De normen zijn gericht op
1
Normen en maatregelen die specifiek zijn voor GOUD, omdat ze uit de aanbesteding voortvloeien, zijn opgenomen in een addendum.
9 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
informatiebeveiliging, geformuleerd op tactisch niveau en gebaseerd op het niveau WBP risicoklasse 2. Het tactisch normenkader en de operationele baseline DWR overlappen het [nir] en zullen op termijn geconsolideerd worden binnen bredere consolidatieslag t.a.v. IB normenkaders. Het Normenkader Mobiele Informatiedragers Rijksoverheid [mdd] vormt een interdepartementaal normenkader voor beveiliging van en veilige omgang met mobiele informatiedragers. Het tactisch normenkader en de operationele baseline DWR gaan uit van genoemde normenkader. Voor normen t.a.v. mobiele informatiedragers,wordt naar [mdd] verwezen. De indeling en inhoud van voornoemde normenkaders volgen die van de “NORA Normen Informatiebeveiliging ICT-voorzieningen” [noraibict], die momenteel ontwikkeld worden door de NORA werkgroep beveiliging en privacy. Daarbij zijn de operationele maatregelen op tactisch niveau geherformuleerd dan wel verwijderd. Dit om de „houdbaarheid‟ van dit normenkader te verhogen. In het tactisch normenkader DWR zijn daarnaast eisen uit de Code voor Informatiebeveiliging [cvib] onverkort overgenomen, voor zover die relevant zijn binnen de context van DWR en niet in [noraibict] voorkomen. Het betreft hier vooral eisen aan de (beheer)omgeving van de ICT-voorzieningen. In de operationele baseline DWR [obdwr] wordt een deel van de eisen uit dit tactisch normenkader uitgewerkt in operationele maatregelen. De structuur van [obdwr] is gebaseerd op „IB-patronen‟, standaardoplossingen voor veelvoorkomende beveiligingssituaties die herbruikbaar zijn op diverse plaatsen binnen de ICT-voorzieningen van DWR. Deze patronen vullen een deel van de tactische eisen uit dit normenkader in, echter niet alle eisen zijn relevant binnen de context van de beschreven patronen. Het gebruik van een baseline sluit aan bij de voorschiften in VIR 2007. VIR 2007 schrijft hierover: “Een ministerie kan er voor kiezen om een gemeenschappelijk stelsel van betrouwbaarheidseisen, normen en/of maatregelen af te spreken. Zo'n stelsel zal in het algemeen betrekking hebben op het merendeel van de informatiesystemen dat gebruikt wordt en ontlast tot op zekere hoogte de individuele lijnmanagers van hun taak om informatiebeveiliging gedetailleerd inhoud te geven. Dit houdt bijvoorbeeld in de wijze waarop de logische en/of fysieke toegangsbeveiliging binnen (delen van) het ministerie gerealiseerd wordt. Of het bestaat uit een pakket aan betrouwbaarheidseisen die aan de 'normale' processen en ondersteunende informatiesystemen worden gesteld (daarbij kunnen indien nodig aanvullend per informatiesysteem specifieke eisen worden gesteld). Een dergelijk stelsel wordt veelal aangeduid met de term baseline.”
1.6
Relatie VIR en VIR-BI
Binnen de Rijksdienst wordt de verantwoordelijkheid van het lijnmanagement voor informatiebeveiliging beschreven in het Voorschrift Informatiebeveiliging Rijksdienst (het VIR). In het VIR-BI is uitwerkt aan welke eisen moet zijn voldaan indien informatie valt onder de categorie „bijzondere informatie‟ (Departementaal Vertrouwelijk en Staatsgeheimen).
10 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Waar het VIR-BI ingaat op de eisen die bepaalde categorieën van informatie stellen, gaat het VIR ook over de rol die informatiesystemen bij de verwerking van informatie spelen. De gedachte hierachter is dat de beveiligingseisen aan informatie voortvloeien uit het proces dat ermee wordt ondersteund, en dat het proces veelal ondersteund wordt door technologie (een „applicatie‟) en organisatie (werkprocessen). De informatiebeveiliging zoals bedoeld in het VIR gaat over de waarborgen die moeten worden gerealiseerd in het informatiesysteem inclusief deze organisatieaspecten. Het toepassen van het tactisch normenkader heeft geen betrekking op de departementale informatiesystemen, en ontslaat de afzonderlijke departementen en DWR vanzelfsprekend niet van de verantwoordelijkheid om te voldoen aan het VIR en VIR-BI. Het tactisch normenkader richt zich op de centrale DWR infrastructuur met bijbehorende diensten, maar niet op de primaire informatiesystemen en infrastructuren van de departementen. Nota Bene: DWR zelf levert een aantal diensten die als „informatiesysteem‟ zouden kunnen worden aangemerkt, zoals de DWR samenwerkingsfunctionaliteit (SWF). De DWR draagt hiervoor de verantwoordelijkheid zoals in het VIR aan het lijnmanagement is toegekend. In onderstaande tekening is dit verder verduidelijkt.
Departementale
Departementale
Informatie Systemen
Informatie Systemen
DWR-SWF
DWRPortaal
Generieke DWR infrastructuur
De onderdelen in het grijze vlak moeten voldoen aan het tactisch normenkader. Zoals eerder gemeld kan, via aansluitvoorwaarden, het normenkader ook doorwerken naar departementale componenten en informatiesystemen.
1.7
Opzet
Het tactisch normenkader DWR bevat eisen die relevant zijn voor de beveiliging van DWRvoorzieningen. Niet alle eisen zijn echter relevant voor elke voorziening, of voor elke (ICT-) component die een rol speelt bij de levering van een voorziening. Per geval zal moeten worden vastgesteld welke eisen van toepassing zijn en dus aan de leverende partij moeten worden opgelegd. De rollen van de verschillende leveranciers is in onderstaande tabel beschreven.
11 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend:
DL
Rol Dienstleverancier
Niveau Applicaties
SL
Deze levert een dienst; dit kan een applicatie zijn die direct door eindgebruikers kan worden benaderd of een ondersteunende dienst. Systeemleverancier
Systemen
NL
Deze levert de (niet-netwerk-) systemen die de dienstleveranciers in staat stelt om hun diensten aan te bieden. Netwerkleverancier
Communicatie
Deze levert de netwerkinfrastructuur. Onderdelen hiervan zijn bijvoorbeeld routers, switches, netwerkkabels en patchkasten. In het tactisch normenkader is per eis aangegeven voor welke rollen deze van toepassing is. Opgemerkt moet worden dat deze (uitvoerende) rollen door verschillende partijen ingevuld kunnen worden en dat een partij meerdere rollen kan vervullen. Ondanks het eventueel laten uitvoeren van bepaalde werkzaamheden door derden en de daarmee samenhangende verantwoordelijkheid voor de uitvoering, blijft de eindverantwoordelijkheid liggen bij de ketenverantwoordelijke. Het beveiligingsniveau wordt, in overeenstemming met de basisprincipes van informatiebeveiliging, opgesplitst in de categorieën Beschikbaarheid, Integriteit en Vertrouwelijkheid. In de gestelde normen is aangegeven op welke principe de norm van toepassing is. Het normenkader is er op gericht dat de generieke DWR infrastructuur en diensten voldoende zijn om een vertrouwelijkheidsniveau WBP risicoklasse 2 te ondersteunen. Hiermee wordt aansluiting gevonden met de reeds eerder opgestelde kaders. Voor de integriteits- en beschikbaarheidsaspecten in dit normenkader hebben de risicoanalyses welke zijn uitgevoerd door TNO tijdens het GOUD traject en door departementen ingebrachte best practices als basis gediend. Op basis van deze informatie heeft het basisbeveiligingsniveau zijn huidige vorm en niveau verkregen. In opvolging van de door veel departementen geuite wens om een vertrouwelijkheidsniveau van „Departementaal Vertrouwelijk‟ in de basis te ondersteunen, zal een vervolgonderzoek plaatsvinden. Dit vervolgonderzoek maakt inzichtelijk in hoeverre het voorliggende normenkader dit niveau al kan ondersteunen, en in hoeverre aanvullende normen noodzakelijk zijn. Het is aannemelijk dat een aantal van de rode normen, voor zover zij betrekking hebben op het aspect vertrouwelijkheid, hierin kan voorzien.
1.8
Leeswijzer
De tactische eisen in de volgende hoofdstukken van dit normenkader zijn opgedeeld in twee categorieën. Hoofdstuk 2 beschrijft de eisen aan de beveiliging van ICT-voorzieningen. Deze zijn gegroepeerd naar de volgende gebieden:
12 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
continuïteitsvoorzieningen;
controle op informatieverwerking; scheiding: logische afscherming; scheiding: zonering en grensbescherming;
identificatie, authenticatie en access control; vastlegging van gebeurtenissen; controle, alarmering en rapportering;
systeemintegriteit.
Hoofdstuk 3 beschrijft de eisen aan de beveiliging van de omgeving van ICT-voorzieningen. Deze zijn gegroepeerd naar de volgende gebieden: personeel; fysieke beveiliging en beveiliging van de omgeving;
rapportage en beheer van incidenten.
Tenslotte bevat dit document een lijst met referenties, een afkortingenlijst en een begrippenlijst.
13 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2 Beveiliging van ICT voorzieningen 2.1
Continuïteitsvoorzieningen
Definitie Continuïteitsvoorzieningen in ICT-voorzieningen scheppen de voorwaarden op het beoogde tijdstip de juiste informatie beschikbaar te stellen aan het klantproces, conform het overeengekomen niveau. Toelichting en afbakening De in de Code voor Informatiebeveiliging [cvib] beschreven beschikbaarheidmaatregelen gericht op stroomvoorziening, klimaatbeheersing, brandpreventie, waterdetectie e.d. zijn maatregelen behorende bij de fysieke beveiliging en zijn terug te vinden in hoofdstuk “Beveiliging omgeving ICT voorzieningen”. De hier opgenomen normen hebben direct betrekking op onderdelen van de technische infrastructuur.
2.1.1
Redundante uitvoering van ICT-voorzieningen
Doelstelling van de maatregel Door redundante uitvoering van ICT-voorzieningen dienen single-points-of-failure te worden vermeden, waardoor de kans op uitval wordt verlaagd. Implementatienormen Norm 1.1.1
B
Redundante uitvoering componenten: Componenten noodzakelijk voor de beschikbaarheid van een kritische dienst, zijn redundant uitgevoerd zodat uitval van een component niet leidt tot onbeschikbaarheid van de ICTvoorziening.
X
Norm 1.1.2
B
Redundante uitvoering verbindingen: Bij gebruik van fysieke verbindingen voor een kritische dienst worden deze redundant uitgevoerd.
X
Norm 1.1.3
B
Geen “Single Point of Failure” (SPoF) bij redundantie: De plaatsing van ICT-apparatuur is zodanig dat dubbel uitgevoerde componenten niet op één fysieke plaats zijn samengebracht. Ook de software/applicaties/dienst mogen geen SPoF zijn en moeten een “fail-over” mogelijkheid hebben.
X
I
I
V
V
DL
SL
NL
x
x
x
DL
SL
NL
x
I
V
DL
x
SL
NL
x
x
14 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.1.2
Herstelbaarheid van verwerking
Doelstelling van de maatregel Verwerkingen dienen herstelbaar te zijn zodat bij het optreden van fouten en/of wegraken van informatie dit hersteld kan worden door het opnieuw verwerken van de informatie. Implementatienormen Norm 1.2.1
B
Locatie-onafhankelijkheid: De bediening van ICTvoorzieningen is niet gebonden aan één fysieke locatie.
X
Norm 1.2.2
B
Automatische opvang van uitval: Datacommunicatievoorzieningen beschikken over automatisch werkende mechanismen om uitval van fysieke verbindingen op te vangen.
X
Norm 1.2.3
B
Procedures voor data-recovery: Er zijn (geteste!) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.
X
I
I
I
V
V
V
DL
SL
NL
x
x
x
DL
SL
NL
x
x
SL
NL
DL
x
15 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.1.3
Bewaking en alarmering
Doelstelling van de maatregel ICT-voorzieningen moeten anticiperen op dreigende discontinuïteit van die voorzieningen. Implementatienormen Norm 1.3.1
B
Bewaken beschikbaarheid componenten: Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component meten)
X
Norm 1.3.2
B
Voorkomen onevenredig gebruik: Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke middelen, zodat een enkele gebruiker of systeem niet een overmatig deel van deze middelen kan opeisen en daarmee de beschikbaarheid van systemen voor andere systemen of gebruikers in gevaar kan brengen.
X
I
I
V
V
DL
SL
NL
x
x
x
DL
SL
NL
x
x
x
16 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.2
Controle op informatieverwerking
Definitie Controle en sturing op informatieverwerking wordt in de [noraibict] aangeduid met Application Controls. Application Controls betreffen de geprogrammeerde maatregelen, die onderdeel uitmaken van de informatiesystemen voor bedrijfsdoelstellingen. Toelichting en afbakening De application controls voeren primair geautomatiseerde controles en maatregelen uit, maar kunnen er ook op gericht zijn informatie te leveren voor het kunnen uitvoeren van handmatige controles door gebruikers of beheerders.
2.2.1
Functiescheidingen
Doelstelling van de maatregel Niemand in een organisatie of proces mag op uitvoerend niveau in staat worden gesteld om een gehele cyclus van handelingen te beheersen in verband met het risico dat hij/zij zichzelf of anderen onrechtmatig bevoordeelt dan wel de organisatie schade berokkent. Dit geldt voor zowel informatieverwerking als beheeracties. Implementatienormen Norm 2.1.1
B
Functiescheidingen: informatiesysteemfuncties voor opslag, registratie, uitvoer, controle en besluiten zijn gescheiden.
Norm 2.1.2
B
Aparte functies bij massale invoer: Bij processen waar massale data-invoer voorkomt zijn er aparte informatiesysteemfuncties voor: - eerste invoer - eventuele controle-invoer - aanbrengen van correcties naar aanleiding van uitgevoerde applicatiecontroles of –signaleringen Norm 2.1.3 Aparte taak voor goedkeuren: Er is een aparte informatiesysteemfunctie voor het accepteren van gegevens voordat deze gegevens verder verwerkt worden. Dit is van toepassing op gegevens met een potentieel hoge impact op de integriteit. IB principe: Functiescheiding.
I
V
X
I
V
X
B
I
X
V
DL
SL
NL
x
x
x
DL
SL
NL
x
x
DL
SL
NL
x
x
x
17 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 2.1.4
B
Goedkeuring door een tweede persoon: Er is een aparte informatiesysteemfunctie voor het accepteren van gegevens door een tweede rol voordat deze verder verwerkt worden. Dit is van toepassing op gegevens met een potentieel hoge impact op de integriteit. IB principe: Vier ogen principe.
Norm 2.1.5 Scheiding tussen beheer en gebruik: Er is een scheiding tussen (informatie)systeem-beheertaken en overige gebruikstaken.
I
V
X
B
I
V
X
DL
SL
NL
x
x
x
DL
SL
NL
x
Het in opdracht van de informatiesysteemeigenaar muteren van rekenregels en variabelen zijn als beheertaken te zien.
Norm 2.1.6
B
Rechten op basis van rollen: Rechten worden gekoppeld aan gebruikers op basis van rollen, niet aan personen. Alleen die rechten worden aan een rol toegekend, die voor deze rol nodig zijn. Dit wordt bepaald door de verantwoordelijke voor een component.
Norm 2.1.7
B
Eenduidige mutatieverantwoordelijkheden: Verantwoordelijkheden voor gegevens moeten eenduidig toe te wijzen zijn aan één specifieke rol. Gegevens en bijbehorende informatiesysteemfuncties moeten daarom toe te wijzen zijn aan een eenduidige rol. Norm 2.1.8 Mutaties altijd vanuit één verantwoordelijke rol in één gegevensverzameling: Indien dezelfde gegevens in meerdere gegevensverzamelingen voorkomen, worden mutaties altijd vanuit één verantwoordelijk rol in één gegevensverzameling gemuteerd. Indien deze mutaties automatisch worden overgebracht (gekopieerd) naar de andere gegevensverzameling moet dit duidelijk zichtbaar zijn in een audittrail.
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
x
x
x
DL
SL
NL
x
x
X
B
I
X
V
18 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.2.2
Invoercontroles
Doelstelling van de maatregel Alle ingevoerde gegevens moeten op juistheid, tijdigheid en volledigheid worden gecontroleerd voordat verdere verwerking plaatsvindt. Implementatienormen Norm 2.2.1
B
Onderscheid in invoeren, wijzigen en verwijderen: Om invoercontroles mogelijk te maken zijn er verschillende informatiesysteemfuncties voor: -invoeren -wijzigen en -verwijderen
I
V
X
DL
SL
NL
x
x
DL
SL
NL
SL
NL
Bij invoeren mag de data niet reeds voorkomen, bij wijzigen en verwijderen moet deze reeds bestaan. (Code 12.2.2.a) Norm 2.2.2 Validatie en bestaanbaarheid: De ingevoerde gegevens vormen een complete en consistente gegevensset in de context van de applicatie. De toegestane waarden van de ingevoerde gegevens worden op juistheid gecontroleerd om de volgende fouten te ontdekken (Code 12.2.1.a) 1. waarden die buiten het geldige bereik vallen; 2. ongeldige tekens in invoervelden; 3. ontbrekende of onvolledige gegevens; 4. overschrijding van boven- en ondergrenzen voor gegevensvolumes; 5. ongeautoriseerde of inconsistente gegevens. Verwerken van deze vormen van foutieve invoer door informatiesysteemfuncties is niet mogelijk, ook niet door expliciete acceptatie door de verantwoordelijke rol. Deze norm geld voor zowel handmatige als geautomatiseerde invoer (batch invoer).
B
Norm 2.2.3 Fouten in invoer vanuit batch: Wanneer één of meerdere invoerregels uit een batchbestand niet te verwerken zijn, worden dit teruggekoppeld aan de opsteller van het batchbestand.
B
I
V
X
I
X
x
V
DL
x
19 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 2.2.4
B
Signaleren mogelijk foutieve invoer: Afwijkende invoer op grond van relatie- en redelijkheidscontrole die kan wijzen op foutieve invoer, wordt aan de gebruiker gesignaleerd en de gebruiker wordt de mogelijkheid geboden om in te grijpen voordat de invoer in de applicatie wordt verwerkt. Norm 2.2.5
B
Terugmelden omschrijving: Indien van toepassing wordt bij ingevoerde codes of sleutelgegevens de daarbij behorende omschrijving teruggemeld ter visuele controle met het invoerdocument. Norm 2.2.6
B
I
I
B
I
V
Signaleren dubbele invoer: Door het opnemen van volgnummers in records of berichten kan dubbele invoer worden gesignaleerd. Deze methode is echter niet voor alle toepassingen geschikt. Toepassing is mede afhankelijk van de mogelijkheden van de verwerkingscontroles dan wel de ernst van gevolgen van dubbele verwerking.
I
V
B
I
Tegengaan applicatieve spam: De applicatieve controles moeten het onmogelijk maken de invoer te vervuilen door het inzenden van nep-berichten, die wel aan alle formele vormvereisten voldoen. Bij signalering dient er een signaal te worden afgegeven naar de operationeel beheerders.
X
X
NL
SL
NL
SL
NL
SL
NL
SL
NL
DL
SL
NL
x
x
DL
DL
x
V
DL
x
V
X
Norm 2.2.9
SL
x
X
B
DL
x
X
Juistheid massale invoer: De juistheid van massale handmatige invoer wordt ondersteund door een aparte informatiesysteemfunctie voor controletoetsen (dubbele invoer). Controletoetsen kunnen zich beperken tot kritische gegevens. Norm 2.2.8
V
X
Geen default waarden: Default waarden zijn niet toegestaan bij kritische gegevenselementen, hieraan is een verplichte veldinvulling gekoppeld. De kritische gegevenselementen worden door middel van een risicoanalyse bepaald. Norm 2.2.7
I
X
DL
x
V
20 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 2.2.10
B
Volledigheid (en juistheid) inzending berichten: Indien er sprake is van onregelmatige inzending van berichten krijgt de verzender een bevestiging van ontvangst. Indien mogelijk wordt deze bevestiging gecombineerd met de resultaten van de (eerste) verwerking. Hierdoor kan de inzender constateren of de verzending (juist) is aangekomen. Norm 2.2.11
B
Volledigheid invoer: Door het opnemen van o.a. volgnummers in berichten of invoerrecords kan de volledige ontvangst worden vastgesteld, mits het aantal invoerbronnen beperkt is. Norm 2.2.12
B
Handmatige invoer als controlemechanisme: In gevallen waarbij alleen automatische verwerking niet gewenst is i.v.m. hoge integriteitseisen, dient handmatige invoer of aktieve controle van de gegevens te worden afgedwongen.
2.2.3
I
I
B
I
V
I
X
SL
NL
DL
SL
NL
SL
NL
SL
NL
SL
NL
x
V
DL
x
V
X
B
DL
x
X
Correctiemogelijkheden: Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen of te verwijderen. Norm 2.2.14
V
X
Volledigheid massale invoer: Door middel van het inbrengen van voortellingen van aantallen/bedragen/ hashtotals van invoerdocumenten in het informatiesysteem wordt de volledigheid van massale invoer gecontroleerd. (Code 12.2.2.e) Norm 2.2.13
I
X
DL
x
V
DL
x
Uitvoercontroles
Doelstelling van de maatregel Garanderen dat de uitgevoerde gegevens met het juiste niveau van vertrouwelijkheid en integriteit beschikbaar gesteld worden. Implementatienormen
21 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 2.3.1
B
I
Uitvoer alleen van noodzakelijke gegevens: De uitvoer (elektronisch of op papier) bevat alleen die gegevens die nodig zijn voor de doeleinden van de ontvanger (ook: client). Elektronische uitvoer wordt niet pas op de bestemming gefilterd. Norm 2.3.2
B
I
Controle op uitvoer van gegevens: Het informatiesysteem bevat controle functies die afdwingen of een gebruiker informatie binnen het informatiesysteem mag en kan afdrukken dan wel exporteren. Norm 2.3.3 Volledigheid verzending berichten: Bij verzending van berichten, waarbij risico‟s op juridische geschillen mogelijk zijn, wordt voorzien in een (automatische) terugmelding van ontvangst bij het ontvangende systeem en/of wordt er in het proces voorzien in tijdige signalering van het niet-tijdig reageren op het verzonden bericht. Het is ook mogelijk aan de berichten volgnummers of controle sleutels (hash) toe te kennen, waarbij er zekerheid moet zijn dat er volgnummer of sleutel controle plaatsvindt bij het ontvangende systeem.
B
Norm 2.3.4
B
SL
NL
x
x
x
V
DL
SL
NL
X
x
V
DL
SL
NL
I
NL
SL
SL
NL
SL
NL
SL
NL
x
V
X
B
Integriteit uitvoer: Van uitvoerbestanden die op verplaatsbare media worden uitgewisseld, wordt (controle op) de integriteit gewaarborgd, bijvoorbeeld door middel van hashes of versleuteling.
I
B
I
Beheerinformatievoorziening: Beheerinformatie dient zowel gestructureerd als ook bevraagbaar (bijv. via queries) beschikbaar te zijn.
X
X
Norm 2.3.7
B
I
X
DL
x
V
X
Norm 2.3.6
Aangeven selectiecriteria bij uitvoer: Bij variabele instelmogelijkheden worden de selectiecriteria, die gebruikt zijn om de uitvoer te bepalen, op de betreffende uitvoer afgedrukt.
DL
X
Volledigheid uitvoer: Er moet controle zijn op het correct en volledig uitvoeren van informatie uit informatiesystemen. Batchuitvoer bevat controletellingen die zijn gebaseerd op tijdens de computerverwerking opgebouwde tellingen. Indien tellingen worden overgenomen uit bestanden, is dat kenbaar gemaakt op de uitvoerlijsten (Code 12.2.2.e) Norm 2.3.5
I
V
X
DL
x
V
DL
x
V
DL
x
22 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.2.4
Verwerkingsbeheersing
Doelstelling van de maatregel Geconstateerd moet kunnen worden dat alle ter verwerking aangeboden gegevens volledig en tijdig zijn verwerkt. Implementatienormen Norm 2.4.1
B
I
Monitoring van voortgang: Voor het beheersen van de volledigheid en tijdigheid van de systeemtransacties/verwerkingen worden meetpunten aangebracht.
X
X
Norm 2.4.2
B
I
Controle op correcte verwerking: Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactie/verwerkings-fouten kunnen worden gedetecteerd (bijvoorbeeld syntaxfouten).
Norm 2.4.3
B
Vastleggen handmatige bestandscorrecties: Indien handmatige correcties van bestandsgegevens niet te vermijden is (want dan heeft het informatiesysteem kennelijk geen sluitend stelsel van controle- en correctiemaatregelen), worden de resultaten van deze bewerkingen in “Ist-Soll” verslagen vastgelegd.
I
V
I
X
SL
NL
DL
SL
NL
SL
NL
SL
NL
x
V
X
B
DL
x
X
Controle op gegevensverwerking: Het moet mogelijk zijn voor de beheerder van het informatiesysteem om inzage te krijgen in de gegevensverwerking door het informatiesysteem.
Norm 2.4.4
V
DL
x
V
DL
x
23 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.2.5
Bestandscontrole
Doelstelling van de maatregel Het garanderen van de integriteit van gegevens, die in verschillende gegevensverzamelingen voorkomen. Daarmee wordt bereikt dat de gegevens zelf correct zijn maar ook dat gebruik van de gegevens de integriteit van de verwerkende systemen niet aantast (door b.v. malware). Implementatienormen Norm 2.5.1
B
Vergelijk dezelfde gegevens in verschillende gegevensverzamelingen(transactionele integritieit): Als dezelfde, kritische gegevens in verschillende gegevensverzamelingen voorkomen, worden deze per transactie met elkaar vergeleken, waarbij verschillen worden gesignaleerd zodat ze kunnen worden gecontroleerd en gecorrigeerd.
I
V
X
DL
SL
NL
x
Toelichting: De periodiciteit hangt af van de hoeveelheid verschillen, die bij eerdere vergelijkingen zijn geconstateerd dan wel de inschatting van risico‟s op het kunnen voorkomen van inconsistenties. Norm 2.5.2
B
Real-time automatische malware-controle bij gebruik van gegevens: Wanneer gegevens worden gebruikt dient de inhoud real-time geautomatiseerd gecontroleerd te worden op aanwezigheid van virussen, trojans etc. Constatering leidt tot signalering en voorkoming van gebruik van besmette bestanden. De update voor de detectiedefinities vindt frequent en automatisch plaats.
I
V
DL
X
SL
NL
x
Bij “legacy” systemen is automatische controle niet altijd mogelijk. Hiervoor moet een alternatieve oplossing toegepast worden. Norm 2.5.3 Periodieke automatische malware-controle van opgeslagen gegevens: Opgeslagen gegevens (bijvoorbeeld op een fileserver) dienen periodiek inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van virussen, trojans etc. Constatering leidt tot signalering en voorkoming van gebruik van besmette bestanden. De update voor de detectiedefinities vindt frequent en automatisch plaats. Voor periodieke malware controle dient een andere product gebruikt te worden dan voor real-time malware controle
B
I
X
V
DL
SL
NL
x
Toelichting: Definities voor detectie van malware e.d. lopen altijd achter en periodieke controle van opgeslagen gegevens met een ander product voor malware-controle kan malware
24 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
detecteren die mogelijk bij eerdere malware-controle tussendoor is geglipt.
2.2.6
Afstemming met generieke ICT-voorzieningen
Doelstelling van de maatregel In applicaties dienen geen IB-functies te zijn opgenomen, waarvoor al generieke voorzieningen beschikbaar zijn. Implementatienormen Norm 2.6.1 Autorisatiebeheersysteem: Voor het beheer van autorisaties wordt zoveel mogelijk gebruik gemaakt van standaard autorisatievoorzieningen of –modules. Indien dit op onderdelen niet is te vermijden (bijv. bij gegevensafhankelijke autorisatiemechanismen) worden deze functies als aparte module uitgevoerd.
B
Norm 2.6.2
B
Versterkte authenticatie: Bij het elektronisch communiceren vanuit een niet vertrouwde omgeving (bijv. vanuit de externe zone) is het noodzakelijk extra zekerheden (boven het basisniveau beveiliging) te verkrijgen omtrent de identiteit van derden. De hiervoor te treffen maatregelen worden afgestemd met het gevoerde bedrijfsbeleid en het soort informatie waar mee gewerkt word.
V
DL
X
x
I
V
DL
X
Norm 2.6.3 Onweerlegbaarheid juiste ontvanger/verzender: In situaties waar (juridische) geschillen kunnen ontstaan over het al dan niet ontvangen of verzenden van elektronische gegevens van of aan de juiste identiteit dienen maatregelen genomen te worden om onweerlegbaar de identiteit van de ontvanger/verzender te kunnen vaststellen.
B
Norm 2.6.4
B
Controle op dubbele of ontbrekende bestandsuitwisseling: Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt zeker gesteld dat uitwisseling eenmalig plaatsvindt. Dergelijke controlemechanismen zijn bij voorkeur als generieke voorziening in te richten.
I
X
I
X
NL
SL
NL
x
V
X
I
SL
DL
x
SL
NL
SL
NL
x
V
DL
x
25 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 2.6.5 Aparte functies: Informatiesysteemfuncties, die gebruikt worden voor het verwerken van gegevens met extra hoog belang, moeten van de overige transacties gescheiden worden om functiescheiding op basis van autorisatie mogelijk te maken.
B
Norm 2.6.6
B
Controletellingen database: Bij het online verwerken van mutaties in een database worden controletellingen van de aantallen en bedragen apart bijgehouden en gemuteerd. Frequent wordt dan gecontroleerd of deze controletellingen in overeenstemming zijn met de daadwerkelijke telling van de database. Voor deze controle wordt dan een aparte taak gedefinieerd. Norm 2.6.7
V
DL
X
x
I
V
DL
X
B
Gegevensencryptie: Wanneer voor de eigenaar van de gegevens de vertrouwelijkheid en integriteit van gegevens van belang is, moeten deze gegevens tijdens transport en opslag door middel van encryptie (met integriteitgarantie mechanisme!) worden beveiligd.
Norm 2.6.8 Gegevens in aparte bestanden: Gegevens van te onderscheiden aard met een extra hoog belang opnemen in aparte bestanden/opslaglocaties, zodat de toegang en verwerking gedifferentieerd kunnen worden.
I
X
B
SL
NL
SL
NL
NL
x
I
V
DL
SL
X
X
x
x
I
V
DL
SL
X
X
x
NL
26 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.3
Scheiding: logische afscherming
Definitie Met het begrip “scheiding” als IB-functie worden de maatregelen bedoeld die omgevingen uit elkaar houden (ontkoppelen) op een wijze dat ze elkaar niet kunnen beïnvloeden. Logische afscherming houdt in dat informatie op logische wijze wordt beschermd voor onbevoegde inzage door derden tijdens opslag en transport. Indien logische en fysieke toegangsbeveiliging hiertoe onvoldoende garantie biedt zal normaliter de informatie worden versleuteld waarbij de inzage in de gegevens beperkt is tot partijen die beschikking hebben over de sleutel.
2.3.1
Toepassen van versleuteling
Doelstelling van de maatregel De communicatie en de opslag van gegevens die buiten de invloedsfeer van de logische en fysieke toegangsbeveiliging vallen of waarvoor deze maatregelen onvoldoende zijn, dienen met passende mechanismen te worden beschermd. Denk hierbij aan publieke zones, zoals het Internet. Implementatienormen Norm 3.1.1
B
I
Versleuteling: Daar waar inzage in informatie door derden ongewenst is en logische en fysieke toegangsbeveiliging daartoe onvoldoende garanties bieden dient de betreffende informatie te worden versleuteld.
2.3.2
V
DL
X
x
SL
NL
Gebruik van robuuste standaard algoritmen
Doelstelling van de maatregel Bij een standaard algoritme is bekend op welke wijze deze geïmplementeerd dient te worden. Tevens is het mogelijk om het standaard algoritme door een breed publiek van experts te laten beoordelen. Indien een algoritme door experts wordt beschouwd als robuust, wordt zo goed mogelijk gewaarborgd dat een algoritme geen (onbekende) kwetsbaarheden bevat die de sterkte van de versleuteling (anders dan de sleutellengte) zouden kunnen aantasten. Implementatienormen Norm 3.2.1 Gebruik standaard algoritmen: De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd
B
I
V
DL
SL
NL
X
x
x
x
27 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 3.2.2
B
I
Gebruik robuuste algoritmen: De gebruikte cryptografische algoritmen voor versleuteling staan als robuust bekend
2.3.3
V
DL
X
x
SL
NL
Gebruik van betrouwbare cryptografische producten
Doelstelling van de maatregel Gebruikte cryptografische producten dienen door een onafhankelijke partij volgens algemeen aanvaarde standaards te zijn gecertificeerd. Dit om zo goed mogelijk te waarborgen dat deze producten niet kwetsbaar zijn voor bijvoorbeeld het uitlekken van het gebruikte sleutelmateriaal. Implementatienormen Norm 3.3.1
B
I
Certificering voor cryptografische producten: Hardware oplossingen met cryptografische functies (smartcards, Hardware security modules) dienen gecertificeerd te zijn volgens daartoe strekkende standaards. (bijv. FIPS 140-2).
2.3.4
V
DL
SL
X
x
x
NL
Sleutellengte
Maatregel De sleutellengte is zo gekozen dat het praktisch onmogelijk is een cryptografische sleutel te raden. Implementatienormen Norm 3.4.1
B
I
Instelbare sleutellengte: In de ICT-voorzieningen is de gebruikte sleutellengte parametriseerbaar.
Norm 3.4.2 Sleutellengte: De gebruikte sleutellengte dient ten minste zo lang te zijn dat het raden van de sleutel niet mogelijk is binnen het tijdsinterval waarin de versleutelde informatie geacht wordt afgeschermd te zijn tegen inzage door derden. Het uitvoeren van een dreigingsanalyse is hier de aangewezen methode.
B
I
V
DL
SL
X
x
x
V
DL
SL
X
x
x
NL
NL
28 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.3.5
Exclusiviteit sleutels
Doelstelling van de maatregel De exclusiviteit van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels. Implementatienormen Norm 3.5.1 Voldoen aan PKI-Overheid: Er dient voldaan te worden aan de eisen gesteld door PKI-Overheid met betrekking tot de omgang met cryptografische sleutels.
B
I
V
DL
SL
X
x
x
NL
29 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.4
Scheiding: zonering en grensbescherming
Definitie Zonering betreft het scheiden van ten minste twee verschillende ICT-omgevingen (al dan niet met verschillend beveiligingsregime) en het via een koppelvlak gecontroleerd uitwisselen van gegevens tussen die zones. Een zone is een afgebakend netwerk van ICT-voorzieningen, met een eigen doelstelling en voorzien van filtering op communicatie en informatie niveau voor het gecontroleerd doorlaten van gegevens naar andere zones. Binnen zones kunnen verschillende sub-zones worden ingericht als het risicoprofiel dat vereist. Het primaire doel van zonering is isolatie van risico‟s waardoor dreigingen en incidenten die optreden in de ene zone niet doorwerken in een andere zone (bijvoorbeeld bij ontwikkeling, test, acceptatie en productie). Zonering maakt het mogelijk om met verschillende beveiligingsniveau‟s binnen een infrastructuur te werken. Zonering werkt op een hoger beheersingsniveau dan logische toegangsbeveiliging.
2.4.1
Indeling in zones
Doelstelling van de maatregel De indeling van zones (elk met een eigen beveiligingsniveau) binnen de technische infrastructuur dient plaats te vinden volgens een operationeel beleidsdocument [implcomp] waarin is vastgelegd welke uitgangspunten hiervoor worden gehanteerd. Implementatienormen (Code 11.4.5) Norm 4.1.1
B
Zonering toepassen: Er wordt zonering toegepast binnen de netwerkarchitectuur. Hierbij wordt ten minste onderscheid gemaakt tussen een vertrouwde zone en een onvertrouwde zone. Het is mogelijk om hier gradaties in aan te brengen zoals gedeeltelijk vertrouwde zones.
I
V
X
X
DL
Norm 4.1.3
B
I
V
DL
Communicatie via beveiligd koppelvlak: Systemen in een vertrouwde zone communiceren niet direct met een systeem in een volledig onvertrouwde zone, dit gaat altijd via een beveiligd koppelvlak.
X
X
X
x
SL
NL
x
x
SL
NL
x
30 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 4.1.4
B
I
V
DL
SL
NL
Scheiding naar doel: Er zijn aparte zones voor
X
X
X
x
x
x
Norm 4.1.5
B
I
V
DL
SL
NL
Geen beïnvloeding OTA & P: Ontwikkel-, Test- en Acceptatiesystemen zijn dusdanig ingericht dat zij geen invloed hebben op de betrouwbaarheid van de Productiesystemen. Hiermee wordt voorkomen dat bijvoorbeeld een configuratiefout in een testsysteem een negatieve impact heeft op de productieomgeving.
X
X
X
x
x
x
Ontwikkeling-, Test-, Acceptatie- en Productie.
Norm 4.1.6
B
I
V
DL
SL
NL
Fysieke zone scheiding: De experimenteer omgeving (laboratorium) is een, van de productie, fysiek gescheiden zone.
X
X
X
x
x
x
Norm 4.1.7
B
I
V
DL
SL
NL
Eigen zone beheer: Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone.
X
X
X
x
x
x
SL
NL
Norm 4.1.8
B
I
V
DL
Bepaling zone: De dienst-eigenaar (of systeem-eigenaar) van een dienst bepaalt in overleg met de beheerpartij in welke zone haar systemen komen te staan. Hierbij wordt een zone gekozen die zo nauw mogelijk aansluit bij de functionele- en beveiligingseisen van het systeem.
X
X
X
x
Norm 4.1.9
B
I
V
DL
Eén beheerinstantie per zone: elke zone wordt slechts beheerd onder verantwoordelijkheid van één beheerinstantie.
X
X
X
x
Norm 4.1.10
B
I
V
DL
Gedefinieerd beveiligingsniveau: elke zone heeft een gedefinieerd beveiligingsniveau, d.w.z. kent een gedefinieerd stelsel van samenhangende beveiligingsmaatregelen.
X
X
X
x
x
SL
NL
x
SL
NL
x
31 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 4.1.11
B
Periodieke zone-evaluatie: Van systemen wordt bijgehouden in welke zone ze staan, en periodiek wordt geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden.
I
V
DL
X
X
x
DL
Norm 4.1.12
B
I
V
Hardening: De zonering wordt ingericht met uitsluitend componenten waarbij de functionaliteit van die componenten is beperkt tot de strikt noodzakelijke.
X
X
X
2.4.2
SL
NL
x
SL
NL
x
x
Reguleren van communicatie tussen en binnen zones (filtering)
Doelstelling van de maatregel Het beperken van gevolgen van verstoringen in een zone voor andere zones waarmee gecommuniceerd wordt. Hiermee wordt bescherming geboden tegen de invloed van (Distributed) Denial of Service attacks (DoS), indringers en heimelijke programmatuur zoals virussen, malware en andere schadelijke software. Implementatienormen Norm 4.2.1
B
I
V
DL
Vastlegging koppelingen: Koppelingen tussen diensten in verschillende zones zijn exact vastgelegd. Afzender, ontvanger, het protocol, de richting van de connectie en de poorten (systeemservices) waarover gecommuniceerd wordt, worden in detail beschreven.
X
X
X
x
Norm 4.2.2
B
I
V
DL
Uitgebreide restricties: De mogelijkheid tot gegevensuitwisseling tussen zones dient geregeld te worden op basis van tijdstip, geografische locatie, protocol, bron en bestemming, voor zover dit de interoperabiliteit niet in gevaar brengt.
X
X
X
x
Norm 4.2.3
B
I
V
DL
Werkstation koppelingen: Werkstations kunnen aan zones gekoppeld worden welke in verbinding staan met gemeenschappelijke servers (zoals mail e.d.). Er mag uitsluitend aan één specifieke zone gelijktijdig gekoppeld worden. Een gelijktijdige koppeling met de ontwikkelings-, acceptatietest- en productiezone is dus uitgesloten. Andere zones benaderen via een beveiligde voorziening(steppingstone) is wel toegestaan.
X
X
X
x
SL
NL
x
SL
NL
x
SL
NL
x
32 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 4.2.4
B
I
V
DL
Beperken communicatie tussen werkstations: Werkstations (ook in dezelfde zone) kunnen standaard onderling niet rechtstreeks communiceren. Indien onderlinge communicatie wel gewenst is dient deze beperkt te zijn tot noodzakelijk verkeer en dient dit ook zoveel mogelijk op gecontroleerde wijze plaats te vinden (b.v. filtering in personal firewall en/of switch)
X
X
X
x
Norm 4.2.5
B
I
V
DL
Beschermen continuïteit: er dienen maatregelen te worden genomen die het mogelijk maken om aanvallen te detecteren en te blokkeren die de beschikbaarheid van ICT componenten kunnen aantasten, naar een zone, vanuit een zone of binnen een zone.
X
SL
x
SL
x
Norm 4.2.6
B
I
V
Verschillende beveiligingssystemen: De grensbeschermingsvoorzieningen in een keten van zones is verschillend van opzet. (T.b.v. het opvangen van eventuele kwetsbaarheden in de inrichting van een grensbeschermingsvoorziening. Denk hierbij aan twee verschillende firewalls die in serie staan.)
X
X
X
Norm 4.2.7
B
I
V
DL
Automatische malware-controle: Gegevensuitwisseling tussen zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van virussen, trojans etc. Constatering leidt tot signalering en voorkomen van uitwisseling van ongewenste gegevens. De update voor de detectiedefinities vindt zeer frequent en geautomatiseerd plaats.
X
X
X
x
Norm 4.2.8
B
I
V
DL
Automatische syntax-controle: Gegevensuitwisseling tussen zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op correcte syntax van het gebruikte protocol zodat alleen gegevens worden uitgewisseld bij een correcte protocol syntax.
X
X
X
x
Norm 4.2.9
B
I
V
DL
Automatische format-controle: Gegevensuitwisseling tussen zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op correctheid van het format van de gegevens zodat alleen gegevens worden uitgewisseld in een geldig format.
X
X
X
x
DL
NL
NL
x
SL
NL
x
SL
NL
SL
NL
x
SL
NL
33 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.5
Identificatie, Authenticatie, Autorisatie
Definitie Identificatie betreft de functionaliteit voor het verlenen van een toegang tot geautomatiseerde gegevensverwerking op basis van de identiteit van personen of systemen. Authenticatie is het aantonen dat de persoon of het systeem ook echt degene is die zich aandient. Access control heeft betrekking op de functionaliteit van toegangsverlening door middel van een geregistreerd toegangscontrolebeleid inclusief de mogelijkheid deze af te dwingen. Toelichting en afbakening De hier bedoelde functies zijn zowel als architectuurprincipe te beschouwen, namelijk werkend voor het geheel van de ICT-voorzieningen, als voor individuele componenten, waarop de centrale voorzieningen moeten zijn aangesloten. Een en ander is sterk implementatie- en platformafhankelijk.
2.5.1
Identificatie
Doelstelling van de maatregel Alle gebruikers van ICT-voorzieningen dienen uniek identificeerbaar te zijn. Hierdoor is het gebruik van een ICT-voorziening altijd te herleiden tot een persoon. Implementatienormen Norm 5.1.1
B
Uniek identificeerbaar: Gebruikers van ICT-voorzieningen worden geïdentificeerd door hun unieke gebruikersnaam (of identifier) (Code 11.5.3.a).
Norm 5.1.2
B
Identiteit voor processen: Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers. Norm 5.1.3 Identiteiten voor beheer: Beheer activiteiten op ICTsystemen moeten de beheerders uitvoeren onder hun eigen persoonsgebonden beheerders-identiteit. In de operatie worden beheerwerkzaamheden en werkzaamheden als gewone gebruiker onder twee verschillende, -maar desondanks persoonsgebondengebruikersnamen uitgevoerd. Het gebruik van speciale beheer accounts (root, administrator) zijn uitgeschakeld. Dwingende uitzonderingen worden per situatie vastgesteld.
B
I
V
DL
X
X
x
SL
NL
I
V
X
X
DL
SL
NL
x
x
I
X
V
DL
SL
NL
X
x
x
x
34 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.5.2
Authenticatie
Doelstelling van de maatregel Alvorens een systeem toegang verleent dient de authenticiteit van de gebruiker te worden vastgesteld. Implementatienormen Norm 5.2.1
B
Minimaal authenticatieniveau: Bij het intern gebruik van ICT-voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden (Code 11.5.3.a). Norm 5.2.2
B
Sterke authenticatie bij SSO: Bij toepassing van Single Sign On (SSO) wordt toegang tot kritische toepassingen of toepassingen met een hoog belang verleend op basis van twee-factor authenticatie. De systeemeigenaar bepaald welke toepassingen dit zijn. Norm 5.2.3
B
Sterke authenticatie bij extern gebruik: Bij extern gebruik van ICT-voorzieningen vindt sterke authenticatie (twofactor) van gebruikers plaats indien: a) vanuit een onvertrouwde omgeving wordt gewerkt (Code 10.8.4 f, 11.4.2.); b) kritische beveiligingscomponenten worden beheerd (denk bijvoorbeeld aan Hardware Security Modules, firewalls, Intruder detection en routers). Norm 5.2.4 Authenticatie van mobiele DWR systemen: Bij mobielen telewerken wordt vastgesteld of er vanaf een voor dit doeleinde beschikbaar gestelde DWR client wordt gewerkt (Code 11.4.2, 11.4.3). Voor niet-DWR clients (thuiswerkplekken) gelden mogelijk aanvullende beveiligingseisen.
2.5.3
B
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
SL
NL
SL
NL
SL
NL
SL
NL
Sterke wachtwoorden
Doelstelling Het systeem dwingt het gebruik van en veilige omgang met sterke wachtwoorden af. De exclusiviteit van het identificatie- en authenticatiemiddel moet gewaarborgd zijn. Implementatienormen
35 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.3.1
B
Wachtwoordsterkte: Van wachtwoorden (ook initiële en wachtwoorden die gereset zijn) moet worden afgedwongen dat ze niet gemakkelijk te raden zijn. Als wachtwoordconventie moet een internationaal erkende, of interdepartementaal afgesproken, standaard worden gebruikt. Norm 5.3.2
B
Omgang default wachtwoorden: De default en installatiewachtwoorden worden tijdens of direct na installatie verwijderd of gewijzigd.
Norm 5.3.3
B
Omgang initiële wachtwoorden: Voor initiële wachtwoorden en wachtwoorden wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord moet worden gewijzigd (Code 11.3.1.f, 11.5.3.e) Norm 5.3.4
B
Geldigheidsduur initiële wachtwoorden: Wachtwoorden die gereset zijn of initiële wachtwoorden hebben een zeer beperkte geldigheidsduur. Na aflopen van deze geldigheidsduur wordt het account geblokkeerd. Norm 5.3.5
B
Beperkte geldigheidsduur wachtwoorden: Een wachtwoord heeft een beperkte geldigheidsduur. Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord verlopen is wordt het account geblokkeerd. Norm 5.3.6
B
Versleutelen transport van wachtwoordinformatie: W achtwoorden en wachtwoordhashes worden sterk versleuteld over een netwerk verzonden (Code 11.5.1.i).
Norm 5.3.7 Geen opslag van wachtwoorden: Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen, maar in plaats daarvan bijvoorbeeld de hash-waarde van het wachtwoord.
B
I
V
DL
SL
X
X
x
x
NL
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
I
V
DL
SL
X
X
x
x
NL
I
V
DL
SL
X
X
x
x
NL
I
E
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
36 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.5.4
Instellingen aanmelden op een systeem
Maatregel Instellingen met betrekking tot het aanmelden op een systeem zijn er op gericht te voorkomen dat iemand werkt onder een andere dan de eigen gebruikersnaam en dat aanmeldgegevens recent zijn. Implementatienormen Norm 5.4.1
B
Expiratiedatum van accounts: Accounts ten behoeve van medewerkers bevatten een expiratiedatum. Op frequente basis wordt op controleerde wijze volgens vastgestelde criteria deze expiratiedatum bijgesteld. Bijvoorbeeld door verificatie met gegevens omtrent het einde van het dienstverband. Voor ambtenaren is einde dienstverband de pensioen datum. Voor de invulling, zie ook het normenkader Identitiy management Norm 5.4.2
B
Blokkeren bij expiratie van accounts: Accounts ten behoeve van medewerkers worden geblokkeerd na overschrijden van de expiratiedatum. Op frequente basis wordt op controleerde wijze volgens vastgestelde criteria bepaald of geblokkeerde accounts verwijderd dienen te worden. Norm 5.4.3
B
Schermbeveiliging: De gebruiker dient het eindgebruikers platform te vergrendelen tijdens afwezigheid. Als achtervang wordt gebruik gemaakt van schermbeveiligingsprogrammatuur (een screensaver) die automatisch na een periode van inactiviteit alle informatie op het beeldscherm onleesbaar en ontoegankelijk maakt (Code 11.5.5). Het systeem biedt de gebruiker ook zelf de mogelijkheid om de schermbeveiliging op eenvoudige wijze te activeren (Code 11.3.2.a). Na het activeren van de schermbeveiliging dient de gebruiker zich opnieuw te authenticeren (de identificatie mag zichtbaar blijven). Norm 5.4.4 Automatische aanmeldblokkering: Nadat voor een gebruikersnaam meerdere keren een foutief wachtwoord gegeven is, wordt de mogelijkheid tot aanmelden op het betreffende systeem tijdelijk geblokkeerd. (Code 11.5.1.e)
B
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
SL
NL
SL
NL
SL
NL
SL
NL
37 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.4.5
B
Wachtwoord niet tonen: Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord. Het is wel gebruikelijk dat toetsaanslagen worden weergegeven door sterretjes of bullets (Code 11.5.1.h, 11.5.3.g).
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
SL
NL
SL
NL
SL
NL
SL
NL
SL
NL
Bij sommige mobiele apparaten is dit niet mogelijk. Hierbij moet de gebruiker er zelf voor zorgen dat het wachtwoord niet door onbevoegden meegelezen kan worden. (Shoulder-surfing) Norm 5.4.6
B
Melding van geautoriseerd gebruik: Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden (Code 11.5.1.b). De basis hiervoor is de gemaakte afspraak tussen de SG‟s. Norm 5.4.7
B
Tijdsduurrestricties voor inloggen: Het moet mogelijk zijn de tijdsinterval voor inloggen te beperken. Bij inlogpogingen die buiten dit tijdsinterval vallen (de toegelaten maximum- en minimumtijd), beëindigt het systeem het inlogproces (Code 11.5.1.f). Norm 5.4.8
B
Niet tonen van informatie voor aanmelding: Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding. Er wordt dus geen informatie getoond over servers, netwerken, gebruikersnamen en dergelijke. Bij een foutieve aanmelding wordt niet vermeld of de gebruikersnaam bestaat, maar slechts dat de combinatie gebruikersnaam en wachtwoord onjuist was, nadat alle gegevens voor het inloggen zijn ingevuld. Er wordt bovendien geen geheugensteun voor het wachtwoord getoond (mogelijkheid in Windows XP) (Code 11.5.1.a, c, d) Norm 5.4.9 Tonen laatste login: Bij zowel een succesvol als een onsuccesvol loginproces wordt de datum en tijd van de voorgaande login of login-poging getoond (Code 11.5.1.g). Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit van het systeem
B
38 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.4.10
B
Automatisch aanmelden: Automatisch aanmelden is niet toegestaan voor interactieve gebruikers. Hier wordt bedoeld dat automatisch wordt ingelogd zonder dat binnen de sessie door een gebruiker een wachtwoord wordt ingegeven (bijvoorbeeld het gebruik van Windows Auto Log-on mag dus niet, waarbij door het aanzetten van een PC een gebruiker automatisch wordt ingelogd onder een vooraf opgegeven gebruikersnaam met een vooraf opgegeven wachtwoord). Alleen systeemprocessen met functionele accounts mogen geautomatiseerd aanloggen (Code 11.3.1. g).
2.5.5
I
V
DL
X
X
x
SL
NL
Autorisatie
Doelstelling De toegang tot ICT-voorzieningen dient uitsluitend te worden verleend aan geautoriseerde gebruikers Implementatienormen Norm 5.5.1
B
Expliciet toegang verlenen: Op alle informatie objecten is toegangsbeveiliging van toepassing. Dit betekent dat per informatie object of objecten-groep goed moet worden overwogen wie er precies toegang mag hebben. De typen informatie objecten zijn afhankelijk van de betreffende bedrijfs processen. Norm 5.5.2 Toestaan op basis van noodzaak tot gebruik: De toegepaste toegangsbeveiliging op de informatie objecten is op basis van de noodzaak tot het gebruik (Need to use).
B
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
x
39 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.5.3
B
Algehele toegangsbeveiliging: Toegangsbeveiliging is geïmplementeerd op alle objecten die gegevens bevatten of verwerken. Dit betreft onder meer de volgende objecten: a. Platforms (vaste en mobiele werkplek, server, mainframe): bestanden, directories, services en randapparatuur (denk aan USB devices op de werkplek); b. Ondersteunende systemen: services; c. Primaire systemen: taken/functies in applicaties, methods, stored procedures, gegevensbenadering in databases (views, tabellen, velden, records) (Code 11.6.1.c); d. Beheer: Beheer van appliances en firmware van hardware voor zover dit kan. Mogelijk is er geen functionaliteit op de toegang tot firmware met een rechtenstructuur te beveiligen. Wel dient in ieder geval een sterk wachtwoord te zijn ingesteld.
Norm 5.5.4
B
Niveau van bevoegdheden: In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden. De mogelijkheden om toegangsregels fijnmazig toe te kennen is afhankelijk van het object. Er dient een goede balans gezocht te worden tussen de mogelijke fijnmazigheid enerzijds en de daardoor veroorzaakte beheerslast anderzijds. Zo kunnen bij schrijfrechten vaak rechten voor creëren, wijzigen, en verwijderen gescheiden worden toegekend. (Code 11.6.1.b). Norm 5.5.5 Autorisatiematrix: Per systeem/dienst/applicatie is in een autorisatiematrix vastgelegd, op basis van need-to-use, wat, per rol, de actieve autorisaties zijn.
2.5.6
B
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
x
Tegengaan onbedoeld gebruik autorisaties
Maatregel Er zijn maatregelen getroffen die onbedoeld gebruik van toegekende autorisaties voorkomen. Implementatienormen
40 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.6.1
B
Minimaal aanbod van applicaties: Gebruikers krijgen
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
I
V
DL
SL
NL
X
X
x
I
V
DL
SL
NL
X
X
x
I
V
DL
SL
NL
X
X
x
SL
NL
slechts toegang tot een noodzakelijk geachte set van applicaties en commando‟s.
Norm 5.6.2
B
Gestandaardiseerd beheer: Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen (scripts) (Code 11.6.1.a).
Norm 5.6.3
B
Toestemming bij overname werkstations: Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd. De gebruiker kan op elk moment de verleende toestemming intrekken. Norm 5.6.4
B
Scheiding van informatie: Systeemdata, programmatuur en toepassingsgegevens zijn van elkaar gescheiden, dat wil zeggen dat de bestanden zoveel mogelijk in eigen directories of partities geplaatst worden. Norm 5.6.5
B
Geen overbodige applicaties: Er zijn in productiezones geen overbodige middelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten (Code 10.1.4.c, 12.4.1.b). Alleen strikt noodzakelijke middelen zijn aanwezig, Norm 5.6.6
B
Verschillende profielen: Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen, en de menu‟s behoren de juiste identiteiten (bijvoorbeeld de gebruikersnaam) te tonen om het risico van fouten te verminderen (Code 10.1.4 e). Norm 5.6.7
B
I
V
DL
Management-software: Managementsoftware heeft de mogelijkheid zowel programma-, netwerk- als gebruikerssessies af te sluiten.
X
X
X
x
41 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 5.6.8
B
Toegang tijdens time slots: Er worden vooraf gedefinieerde perioden („time slots‟) gebruikt, bijvoorbeeld voor overdracht van groepen bestanden („batch file transfer‟) of met regelmatig tussenpozen terugkerende interactieve sessies van korte duur (Code 11.5.5, 11.5.6.a). De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis een wijzigingsverzoek of storingsmelding.
I
V
DL
X
X
x
SL
NL
x
Norm 5.6.9
B
I
V
DL
SL
NL
Beperken toegang voor onbevoegden: Computerterminals die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligd met behulp van een vergrendeling (Code 11.3.2 c).
X
X
X
x
x
x
B
I
V
DL
SL
NL
X
X
x
SL
NL
2.5.7
Minimaliseren rechten
Maatregel Handelingen worden uitgevoerd met minimale rechten. Implementatienormen Norm 5.7.1 Minimale rechten toekennen: De toekenning van rechten aan processen is zo minimaal mogelijk. Bijvoorbeeld: Als het platform toestaat om gescheiden executie- en leesrechten toe te kennen, dan worden voor programmabestanden geen leesrechten toegekend. Tijdelijke (spool)bestanden (bijv. printgegevens) zijn niet voor onbevoegden toegankelijk. Er worden geen (of anders zo weinig mogelijk) rechten gegeven aan algemene groepen als “guest”, “public” of “everyone”. Norm 5.7.2
B
I
V
DL
Minimaal gebruik van administrator/root account: Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn wordt weer terug geschakeld naar het niveau van een gewone gebruiker (een unprivileged user). Denk bijvoorbeeld aan een daemon die onder root een poort opent en daarna terugschakelt naar userniveau. Een ander voorbeeld is het gebruik het Substitute User commando. Dit wordt alleen gebruikt voor die delen van een proces die tijdelijk onder hogere rechten draaien.
X
X
X
x
42 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.5.8
Beheerbaarheid
Maatregel Verleende toegangsrechten zijn inzichtelijk en beheerbaar. Implementatienormen Norm 5.8.1
B
Single point of administration: De registratie van een gebruiker en de verleende toegangsrechten is zoveel mogelijk centraal geregeld (single point of administration).
Norm 5.8.2
B
Toegangsrechten voor rollen: Toegangsrechten worden altijd via groeperingmechanismen toegekend (dus niet rechtstreeks aan individuele gebruikers maar aan groepen/rollen).
Norm 5.8.3 Naamgeving groeperingsmechanismen: Voor groeperingsmechanismen geldt een naamgevingconventie, die aansluit op zo stabiel mogelijke uitgangspunten (dus zo min mogelijk afdelingsgebonden als er regelmatig organisatiewijzigingen plaatsvinden. Hiermee wordt voorkomen dat om niet-technische redenen veelvuldig aanpassingen in naamgeving moeten worden doorgevoerd
B
I
V
DL
SL
NL
X
X
x
I
V
DL
SL
NL
X
X
x
x
x
I
V
DL
SL
NL
X
X
x
x
x
43 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.6
Vastlegging van gebeurtenissen
Definitie Vastleggen in logbestanden van gegevens benodigd voor controle en alarmering Toelichting en afbakening Veel gebeurtenissen die voor het beheer van ICT-voorzieningen van belang zijn, hebben tevens betekenis in het kader van informatiebeveiliging. De hier bedoelde logging heeft betrekking op meldingen vanuit systeemsoftware en beveiligingspakketten. Er is een uitzonderingen: De eventuele audittrail als mutaties of raadplegingen als afzonderlijke records worden weggeschreven in een database of bestand, dat later voor controledoeleinden beschikbaar moet blijven. Bijvoorbeeld voor het uitvoeren van forensisch onderzoek.
2.6.1
Aanmaken logbestanden
Doelstelling Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd (geregistreerd) in logbestanden. Deze logbestanden behoren betrouwbaar te worden bewaard, ten behoeve van toekomstig onderzoek zoals controle en alarmering (zie volgende hoofdstuk). In de log wordt informatie vastgelegd waarmee reproduceerbaar is wie waar wanneer welke cruciale handelingen heeft verricht. De concrete activiteiten worden in onderstaande normen uitgewerkt.
Implementatienormen (o.m. Code 10.10.1 en 10.10.2a, b, c) Norm 6.1.1
B
I
V
DL
SL
NL
Inhoud van logging: De volgende uitgevoerde handelingen moeten worden opgenomen in de logging om aan de doelstelling te voldoen: gebruik van technische beheerfuncties; gebruik van functioneel beheerfuncties; handelingen van beveiligingsbeheer; beveiligingsovertredingen; verstoringen in het productieproces; handelingen van gebruikers;
X
X
X
x
x
x
Norm 6.1.2
B
I
V
DL
SL
NL
Inhoud van logregel: In een logregel moet alle informatie aanwezig zijn om uitgevoerde handelingen betrouwbaar te kunnen herleiden naar een natuurlijk persoon en locatie.
X
X
X
x
x
x
44 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 6.1.3
B
I
V
DL
SL
NL
Correcte tijdsinformatie: Systeemklokken worden gesynchroniseerd en gelijk gezet met een betrouwbare tijdsklok, zodat de juiste tijd in het logbestand vastgelegd kan worden. (Code 10.10.6).
X
X
X
x
x
x
Norm 6.1.4
B
I
V
DL
SL
NL
Correcte systeemconfiguratie: Te allen tijde moet de configuratie van systemen zijn vastgelegd, en inzichtelijk zijn voor systeemeigenaren en beheerders. Systemen kunnen computers zijn, maar ook een compleet netwerk of een subset daarvan. Het niveau van vastlegging moet zo gekozen worden dat aan de toekomstige informatiebehoefte wordt voldaan.
X
X
X
x
x
x
Norm 6.1.5
B
I
V
DL
SL
NL
Geen gevoelige inhoud van logregel: In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden (zoals wachtwoorden; inbelnummers).
X
X
X
x
x
x
45 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.6.2
Integriteit logbestanden
Maatregel De integriteit van opgeslagen logbestanden is gewaarborgd. Implementatienormen (o.m. Code 10.10.1 Overige informatie) Norm 6.2.1
B
I
V
DL
Integriteit van logbestanden: Bij het aanleggen van logbestanden wordt gebruik gemaakt van “write once”technologie.
X
X
X
x
Norm 6.2.2
B
I
V
DL
Controle van integriteit van logbestanden: De volledigheid van de logging kan worden vastgesteld, bijvoorbeeld met behulp van opeenvolgende nummers en time-stamps per log-event.
X
X
X
x
Norm 6.2.3
B
I
V
Schrijftoegang tot logbestanden: Uitsluitend geautoriseerde processen ( operationeel onder een functioneel account) mogen logregels schrijven. Ook beheerders hebben geen schrijfrechten op logbestanden.
X
X
Norm 6.2.4
B
Leestoegang tot logbestanden: Het raadplegen van logbestanden is voorbehouden aan speciaal geautoriseerde gebruikers/beheerders, om de geregistreerde persoonsgegevens te beschermen. Hierbij is de toegang beperkt tot leesrechten.
SL
NL
SL
NL
DL
SL
NL
X
x
x
x
I
V
DL
SL
NL
X
X
X
x
x
x
Norm 6.2.5
B
I
V
DL
SL
NL
Wijzigen en verwijderen logging: Beheerders zijn niet in staat de instellingen van de logging te wijzigen of logbestanden te wijzigen of te verwijderen, tenzij het specifiek hiervoor bevoegde functionarissen zijn. Wanneer een systeem een specifieke rol voor auditdoeleinden kent, dan wordt hiervan gebruik gemaakt bij het raadplegen. Indien logging aangepast of verwijderd dient te worden, zal daarbij altijd het 4 ogen principe toegepast worden. De BVA is eindverantwoordelijk voor integriteit van de logging.
X
X
X
x
x
x
46 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.6.3
Beschikbaarheid logbestanden
Maatregel De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht. Implementatienormen Norm 6.3.1
B
I
V
DL
SL
NL
Bewaartermijn logging: Loginformatie wordt bewaard totdat de bewaartermijnen verstreken zijn. Een indicatie voor de bewaartermijn is: a. Een transactie log wordt bewaard totdat is vastgesteld dat de juiste en volledige verwerking van een (batch) transactie(s) heeft plaats gevonden of totdat de mogelijkheid om een roll back uit te voeren is verstreken, veelal maximaal één dag; b. een technische log wordt bewaard totdat is vastgesteld dat er zich geen verstoring in het systeem heeft voorgedaan, veelal maximaal enkele dagen tot een week.
X
X
X
x
x
x
Norm 6.3.2
B
I
V
DL
SL
NL
Noteren van opschonen logging: Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
X
X
X
x
x
x
Norm 6.3.3
B
I
V
DL
SL
NL
Controle op opslag van logging: Het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook voor andere scenario‟s waarbij het bewaren van loggegevens niet mogelijk is (b.v. een logserver die niet bereikbaar is).
X
X
X
x
x
x
Norm 6.3.4
B
I
V
DL
SL
NL
Technische beschikbaarheid logging: Er moet worden gewaarborgd dat opgeslagen logbestanden ook technisch beschikbaar blijven, dus gedurende de gehele bewaartermijn kunnen worden geraadpleegd/ontsloten. Indien veranderingen plaatsvinden in de logging voorzieningen dient technische beschikbaarheid van bestaande logbestanden te worden gewaarborgd door achterwaartse compatibiliteit of door beschikbaar houden van de oude voorzieningen.
X
X
X
x
x
x
47 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.7
Controle, alarmering en rapportering
Definitie Controle is de toets of een configuratie is ingesteld conform een goedgekeurd operationeel beleidsdocument. Alarmering is een functie, die onmiddellijk signalen naar systeembeheerders kan afgeven als beleidsregels (grenswaarden) worden overschreden. Rapportering maakt het mogelijk beveiligingsincidenten te onderkennen op basis van analyse en correlatie van vastlegging. Toelichting en afbakening Deze functies kunnen meer en meer als architectuurprincipe worden beschouwd door de volwassenheid van de tooling in de markt.
2.7.1
Automatische signalering
Doelstelling van de maatregel Afwijkende gebeurtenissen in de loginformatie dienen tijdig te worden gesignaleerd en zo nodig gealarmeerd aan de beheerorganisatie. Implementatienormen Norm 7.1.1
B
I
V
DL
SL
NL
Specificatie beveiligingsincidenten: Er is gespecificeerd welke beveiligingsincidenten kunnen optreden. Deze beveiligingsincidenten zijn geclassificeerd naar ernst en urgentie.
X
X
X
x
x
x
Norm 7.1.2
B
I
V
DL
SL
NL
Melding van incidenten: Vastgelegd is bij welke drempelwaarden (gebaseerd op de ernst en urgentie van een gebeurtenis daarbij rekeninghoudend met hoe vaak een gebeurtenis voorkomt) een melding wordt gegeven die zichtbaar is voor de beheerorganisatie.
X
X
X
x
SL
NL
Norm 7.1.3
B
I
V
DL
Alarmering van incidenten: Vastgelegd is bij welke drempelwaarden de beheerorganisatie wordt gealarmeerd, zo nodig ook buiten kantooruren.
X
X
X
x
Norm 7.1.4
B
I
V
DL
SL
NL
Gebruik van Security Event Management systeem: De systemen die logberichten genereren worden aangesloten op een Security Event Management (SEM) systeem, waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven kunnen worden.
X
X
X
x
x
x
48 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.7.2
Controle op beveiligingsinstellingen
Doelstelling van de maatregel Instellingen van IB-functies dienen automatisch gecontroleerd te kunnen worden door middel van een Ist-Soll vergelijking. Wijzigingen in beveiligingsinstellingen dienen automatisch gedetecteerd te kunnen worden. Implementatienormen Norm 7.2.1
B
I
V
DL
Integriteit van beveiligingsinstellingen: Instellingen van IB-functies, die betrokken zijn bij grensbescherming (zoals beveiligde koppelvlakken) worden automatisch op wijzigingen worden gecontroleerd.
X
X
X
x
2.7.3
SL
NL
x
Analyse en rapportage
Doelstelling van de maatregel Logbestanden worden periodiek geanalyseerd en gecorreleerd ten einde beveiligingsincidenten te detecteren. De resultaten worden in rapportages opgeleverd. Implementatienormen Norm 7.3.1
B
I
V
DL
SL
NL
Correlatie en rapportage over gebeurtenissen: Periodiek worden er automatisch correlaties en rapportages gemaakt over de verschillende vastgelegde gebeurtenissen.
X
X
X
x
x
x
Norm 7.3.2
B
I
V
DL
SL
NL
Trendanalyses over gebeurtenissen: Periodiek worden er trendanalyses uitgevoerd waarin wordt gerapporteerd over relevante gebeurtenissen in de logbestanden van een in te stellen periode.
X
X
X
x
x
x
49 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
2.8
Systeemintegriteit
Definitie Met systeemintegriteit wordt bedoeld, dat de technische infrastructuur de beoogde bewerkingen foutloos uitvoert.
2.8.1
Modificatie, actualiteit en zwakheden
Doelstelling van de maatregel Onjuiste werking van de systeemsoftware dient te worden voorkomen. Implementatienormen Norm 8.1.1
B
I
V
DL
SL
NL
Alleen legitieme updates: Behoudens de door de leverancier van de software goedgekeurde updates worden er geen wijzigingen aangebracht in software behorend tot de technische infrastructuur (Code 12.5.3) Bij Open Source software worden de updates verzorgt door de eigenaar van de distributie/release. Deze updates vallen binnen de definitie “legitieme updates”.
X
X
X
x
x
x
Norm 8.1.2
B
I
V
DL
SL
NL
Controle op updates/patches: Van softwarematige componenten van de technische infrastructuur wordt, indien mogelijk, geautomatiseerd gecontroleerd of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de systeemeigenaar.
X
X
X
x
x
x
Norm 8.1.3
B
I
V
DL
SL
NL
Controle op zwakheden: Van softwarematige componenten van de technische infrastructuur wordt, indien mogelijk, periodiek geautomatiseerd gecontroleerd of er bekende zwakheden in de configuratie voorkomen.
X
X
X
x
x
x
Norm 8.1.4
B
I
V
DL
SL
NL
Controle op technische werking: Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
X
X
X
x
x
x
50 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 8.1.5
B
I
V
Instellingen voldoen aan productstandaards: De instellingen (parametrisering) van componenten van de technische infrastructuur dient in overeenstemming te zijn met operationele productstandaards van bij voorkeur onafhankelijke instellingen, zoals NIST, voor zover de instellingen niet door andere IB-functies van dit tactisch normenkader zijn geadresseerd.
X
X
X
2.8.2
DL
SL
NL
x
x
Mobile code (programmatuur die wordt overgedragen tussen systemen)
Doelstelling van de maatregel Als gebruik van „mobile code‟ is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde „mobile code‟ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde „mobile code‟ wordt uitgevoerd.
Toelichting: ‟Mobile code‟ is programmatuur die kan worden overgedragen van de ene naar de andere computer, automatisch wordt uitgevoerd en een specifieke functie verricht zonder of met weinig tussenkomst van de gebruiker. „Mobile code‟ werkt samen met een aantal „middleware‟diensten. Javascript, Word Macro‟s e.d. zijn voorbeelden van mobile code. DRM valt niet onder deze categorie.
Implementatienormen (Code 10.4.2) Norm 8.2.1
B
Sandbox voor Mobile Code: „Mobile code‟ wordt uitgevoerd in een logisch geïsoleerde omgeving (sandbox), waardoor malware geen impact heeft op de integriteit van het systeem.
Norm 8.2.2
B
Blokkeren van Mobile Code: „Mobile code‟ wordt niet toegestaan, en kan niet worden uitgevoerd.
Norm 8.2.3
B
Alleen uitvoeren van geauthenticeerde Mobile Code: Indien het noodzakelijk is om mobile code uit te voeren, moeten betrouwbare beveiligingsmaatregelen zijn getroffen om de „mobile code‟ uniek te authenticeren (digital signing).
Norm 8.2.4 Alleen uitvoeren van geautoriseerde Mobile Code: Alleen „Mobile code‟ van vooraf gespecificeerde bronnen wordt toegestaan.
B
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
I
V
DL
X
X
x
SL
NL
SL
NL
SL
NL
SL
NL
51 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3 Beveiliging omgeving ICT voorzieningen Naast technische maatregelen die direct betrekking hebben op de inrichting van de ICT componenten zijn nog aanvullende, niet-technische, maatregelen nodig om de stabiliteit van de DWR ICT-voorzieningen te kunnen waarborgen. Deze hebben betrekking op: 1. het personeel dat betrokken is bij ontwikkeling, testen, in productie name en beheer van de ICT-voorzieningen, eindgebruikers van de DWR voorzieningen vallen hier 2.
3.
expliciet niet onder; de fysieke afscherming van ruimten waarin de DWR ICT-voorzieningen geplaatst zijn en/of aan de DWR ICT-voorzieningen gerelateerde vertrouwelijke informatie zich bevindt. De DWR desktop valt hier niet onder; de wijze waarop wordt omgaan met (informatie)beveiligingsincidenten.
52 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3.1
Beveiligingsmaatregelen met betrekking tot personeel
Definitie Beveiligingsmaatregelen met betrekking tot personeel zijn die maatregelen die voorafgaand, tijdens, en bij beëindiging of wijziging van het dienstverband genomen dienen te worden om het risico op diefstal, fraude, misbruik en menselijke fouten te verminderen. Toelichting en afbakening De in de Code voor Informatiebeveiliging [cvib] beschreven maatregelen richten zich op maatregelen voorafgaande, tijdens en bij beëindiging en/of wijziging van het dienstverband. De focus ligt hierbij op alle werknemers, ingehuurd personeel en externen die op enigerlei wijze in contact komen met de DWR ICT-voorzieningen. Dit is in brede zin en omvat onder andere:
3.1.1
hardware, software, informatie over gebruikte hard- en software,
betrokkenheid bij, het ontwikkelen, beheren, administreren en documenteren, van en over DWR voorzieningen.
Voorafgaand aan het dienstverband
Doelstelling van de maatregel
Bewerkstelligen dat werknemers en ingehuurd personeel hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, om zo het risico van diefstal, fraude, manipulatie of misbruik van de DWR ICT-voorzieningen te verminderen.
Norm 9.1.1 (code 8.1.2)
B
I
V
DL
SL
NL
Verklaring omtrent gedrag: Voor personeel dat omgang heeft met informatie van/over DWR ICT-voorzieningen of toegang heeft tot systemen van DWR ICT-voorzieningen dient een verklaring omtrent gedrag overhandigd te worden.
X
X
X
x
x
x
Norm 9.1.2 (code 8.1.2)
B
I
V
DL
SL
NL
Screening: Personeel dat structurele omgang heeft met gevoelige informatie van/over DWR ICT-voorzieningen of toegang heeft tot bedrijfskritische systemen van DWR ICTvoorzieningen dient periodiek een vertrouwensonderzoek te ondergaan.
X
X
X
x
x
x
Norm 9.1.3 (code 8.1.3)
B
I
V
DL
SL
NL
Geheimhoudingsverklaring: Al het personeel dat toegang heeft tot gevoelige informatie over DWR ICT-voorzieningen dient een vertrouwelijkheids- of geheimhoudingsovereenkomst te tekenen, voordat men toegang krijgt tot de betreffende informatie en DWR ICT-voorzieningen.
X
X
X
x
x
x
53 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3.1.2
Tijdens het dienstverband
Doelstelling van de maatregel Bewerkstelligen dat alle werknemers en ingehuurd personeel zich bewust zijn van dreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van DWR in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen. Norm 9.2.1 (code 8.2.1)
B
I
V
DL
SL
NL
Inlichting over IB-rollen en -verantwoordelijkheden : De werknemers en ingehuurd personeel dienen goed ingelicht te zijn over hun informatiebeveiligingsrollen en – verantwoordelijkheden voordat de toegang wordt verleend tot gevoelige informatie of informatiesystemen van DWR.
X
X
X
x
x
x
3.1.3
Beëindiging of wijziging van het dienstverband
Doelstelling van de maatregel
Bewerkstelligen dat werknemers en ingehuurd personeel ordelijk de organisatie verlaten of hun dienstverband wijzigen. Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat alle apparatuur en aan DWR voorzieningen gerelateerde informatie wordt teruggegeven en dat alle toegangsrechten worden ingetrokken wanneer een werknemer of ingehuurde medewerker de organisatie verlaat of niet meer betrokken is bij ICT voorzieningen van DWR. Norm 9.3.1 (code 8.3.2)
B
I
V
DL
SL
NL
Retournering van bedrijfsmiddelen: Alle werknemers en
X
X
X
x
x
x
Norm 9.3.2 (code 8.3.3)
B
I
V
DL
SL
NL
Blokkering en wijziging van toegangsrechten: De
X
X
X
x
x
x
ingehuurd personeel behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst.
toegangsrechten van alle werknemers en ingehuurd personeel tot informatie en ICT-voorzieningen van DWR behoren te worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na een wijziging zo nodig te worden aangepast.
54 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3.2
Fysieke beveiliging en beveiliging van de omgeving
Definitie Fysieke beveiliging en beveiliging van de omgeving betreft fysieke maatregelen die genomen worden om de omgeving waarin de DWR ICT-voorzieningen zelf en informatie met betrekking tot deze DWR ICT-voorzieningen zich bevinden, af te schermen voor onbevoegden om zo het risico op diefstal, fraude, misbruik, manipulatie te verminderen. Toelichting en afbakening
De in de Code voor Informatiebeveiliging [cvib] beschreven maatregelen richten zich op maatregelen om de omgeving waarin ICT-voorzieningen zijn ondergebracht af te schermen tegen onbevoegde toegang om toegang tot de betreffende ruimte en apparatuur te voorkomen. 3.2.1
Beveiligde ruimten
Doelstelling van de maatregel Het doel van de maatregel is het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van de informatie over DWR ICT-voorzieningen. ICT-voorzieningen die kritieke of
gevoelige DWR diensten ondersteunen of leveren, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermt door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. De geboden bescherming behoort in overeenstemming te zijn met de vastgestelde risico's. Norm 10.1.1 (code: 9.1.1)
B
I
V
DL
SL
NL
Plaatsing in beveiligde ruimten:
X
X
X
x
x
x
Norm 10.1.2 (code: 9.1.2)
B
I
V
DL
SL
NL
Autorisatie voor toegang tot beveiligde ruimten: Beveiligde
X
X
X
x
x
x
Centrale DWR ICT-voorzieningen en aan DWR voorzieningen gerelateerde componenten dienen geplaatst en te worden in fysiek beveiligde ruimten.
ruimten behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. Norm 10.1.3 (code: 9.1.5)
B
I
V
DL
SL
NL
Werken in beveiligde ruimten: Er behoren richtlijnen voor
X
X
X
x
x
x
werken in beveiligde ruimten te worden ontworpen en toegepast.
55 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 10.1.4 (code: 9.1.6)
B
I
V
DL
SL
NL
Beheersing toegangspunten: Toegangspunten zoals
X
X
X
x
x
x
Norm 10.1.5
B
I
V
DL
SL
NL
Begeleiding ongeautoriseerd personeel: Personeel dat zelf
X
X
X
x
x
x
gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van DWR ICT-voorzieningen, om onbevoegde toegang te voorkomen.
niet geautoriseerd is, dient alleen als er een duidelijke noodzaak voor is, onder begeleiding van bevoegd personeel toegang te krijgen tot fysiek beveiligde ruimten waarin DWR ICT-voorziening zijn geplaatst of waar met gevoelige DWR informatie wordt gewerkt.
3.2.2
Beveiliging van apparatuur
Doelstelling van de maatregel Bescherming van apparatuur (waaronder apparatuur die buiten de locatie wordt gebruikt) is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen diefstal, verlies of schade. Ook bij het verplaatsen of verwijderen van apparatuur behoort hiermee rekening te worden gehouden. Er kunnen bijzondere beheersmaatregelen nodig zijn om de apparatuur te bescherming tegen fysieke dreigingen en ter bescherming van de ondersteunende voorzieningen zoals stroomvoorziening en bekabelingsinfrastructuur. Norm 10.2.1 (code: 9.2.1)
B
I
V
DL
SL
NL
Plaatsing en bescherming van apparatuur: Apparatuur
X
X
X
x
x
x
Norm 10.2.2 (code: 9.2.2)
B
I
V
DL
SL
NL
Inrichting nutsvoorzieningen: Apparatuur behoort te
X
x
x
x
behoort zo te worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. Denk hierbij aan beheersmaatregelen ivm diefstal, brand, explosie, rook, wateroverlast, stof, trillingen, chemische reacties, verstoring elektriciteitsvoorzieningen, elektromagnetisch straling en vandalisme.
worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen.
56 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Norm 10.2.3 (code: 9.2.3)
B
I
V
Beveiliging van kabels: Voedings- en
X
X
X
Norm 10.2.5 (code: 9.2.7)
B
I
V
Omgang bedrijfseigendommen: Apparatuur, informatie en
X
X
B
I
telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd.
programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.
Norm 10.2.6 (code: 9.2.6) Verwijderen of hergebruiken van apparatuur: Alle data op
opslagmedia dient veilig te worden gewist. Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd/afgevoerd. Dit geldt niet voor reparatie aan apparatuur welke na reparatie weer actief is in de DWR infrastructuur.
Norm 10.2.7 Gebruik van geëvalueerde apparatuur: Bij het concreet invullen van de IB-patronen met ICT producten, worden daar waar mogelijk producten gebruikt die volgens een internationaal geaccepteerde standaard/organisatie geëvalueerd zijn. De Common Criteria evaluaties zijn hierbij een goed uitgangspunt.
SL
NL
x
x
DL
SL
NL
X
x
x
x
V
DL
SL
NL
X
x
x
DL
SL
NL
x
x
B
I
V
X
X
X
DL
57 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3.3
Rapportage en beheer van informatiebeveiligingsincidenten
Definitie Er behoren formele procedures voor rapportage van gebeurtenissen en escalatie te zijn. Alle werknemers en ingehuurd personeel behoren op de hoogte te zijn van de procedures voor het rapporteren van beveiligingsincidenten die invloed kunnen hebben op de beveiliging van de DWR voorzieningen en informatie over DWR voorzieningen.
3.3.1
Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
Doelstelling van de maatregel Bewerkstelligen dat beveiligingsgebeurtenissen en zwakheden die verband houden met de fysieke beveiliging van DWR ICT-voorzieningen en informatie over deze voorzieningen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. Er behoren formele procedures voor rapportage van gebeurtenissen en escalatie te zijn. Alle werknemers en ingehuurd personeel behoren op de hoogte te zijn van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de DWR ICT-voorzieningen. Zij behoren te worden verplicht om alle beveiligingsgebeurtenissen en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. Norm 11.1.1 (code: 13.1.1)
B
I
V
DL
SL
NL
Melden van beveiligingsgebeurtenissen:
X
X
X
x
x
x
Norm 11.1.2 (code: 13.1.2)
B
I
V
DL
SL
NL
Rapporteren zwakke plekken: Alle werknemers en
X
X
X
x
x
x
Beveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste kanalen te worden gerapporteerd. Er moet hiertoe een formele procedure voor het rapporteren van beveiligingsgebeurtenissen te worden vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsgebeurtenis. Er moet een contactpersoon te worden aangewezen voor het rapporteren van beveiligingsgebeurtenissen.
ingehuurd personeel moeten zwakke plekken in de beveiliging zo snel mogelijk aan hun directe manager te melden om beveiligingsincidenten te voorkomen. Het rapporteringsmechanisme moet zo eenvoudig, toegankelijk en beschikbaar mogelijk te zijn.
58 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
3.3.2
Beheer van beveiligingsincidenten en -verbeteringen
Doelstelling van de maatregel Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van beveiligingsincidenten. Er behoren verantwoordelijkheden en procedures te zijn voor het doeltreffend behandelen van beveiligingsgebeurtenissen en zwakke plekken, zodra ze zijn gerapporteerd. Er behoort een proces van continue verbetering te worden toegepast op het reageren op, controleren, beoordelen en beheer van beveiligingsincidenten. Norm 11.2.1 (code: 13.2.2)
B
I
V
DL
SL
NL
Leren van beveiligingsincidenten: Er behoren
X
X
X
x
x
x
Norm 11.2.2 (code: 13.2.3)
B
I
V
DL
SL
NL
Verzamelen van bewijsmateriaal: Voor een vervolg-
X
X
X
x
x
x
mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van beveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd. Deze informatie behoort te worden gebruikt om terugkerende of zeer ingrijpende incidenten te identificeren.
procedure naar aanleiding van een beveiligingsincident behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
59 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
4 Referenties Referentie
Document
Versie
[cvib]
NEN-ISO/IEC 27002:2007 NL Code voor informatiebeveiliging
2007
[implcomp]
Implementatie Ontwerp Compartimentering DWR
0.2
[noraibict]
NORA Normen Informatiebeveiliging ICT-voorzieningen
0.52
[obdwr]
Operationele Baseline Beveiliging DWR
0.9
[progdwr]
Programmaplan DWR
1.0
[tnksbw]
Tactisch Normenkader SBW
0.9
[wbp2]
Wet bescherming persoonsgegevens, risicoklasse 2
1-9-2001
[nir]
Normenkader Informatiebeveiliging Rijksweb
2006
[mdd]
Normenkader Mobiele Data Dragers
60 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
5 Afkortingenlijst Afkorting AD
Betekenis Active Directory
BIV DL DoS
Beschikbaarheid, Integriteit, Vertrouwelijkheid Dienstleverancier Denial-of-Service
DNS DHCP DWR
Domain Name Service Dynamic Host Configuration Protocol Digitale Werkomgeving Rijksdienst
FIPS GOUD IB
Federal Information Processing Standard Gezamenlijke Ontwikkeling Uniforme overheidsDesktop Informatiebeveiliging
ICT NAS NIST
Informatie- en Communicatietechnologie Network-attached storage National Institute of Standards and Technology
NL NORA OTA&P
Netwerkleverancier Nederlandse Overheid Referentie Architectuur Ontwikkel-, Test-, Acceptatie-, en Productie-
PKI SBW SEM
Public Key Infrastructure Standaard BasisWerkplek Security Event Management
SL SPoF SSO
Systeemleverancier Single point-of-failure Single Sign On
USB
Universal Serial Bus
61 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
6 Begrippenlijst Begrip Access control
Betekenis De functionaliteit van toegangsverlening door middel van een
Application controls
geregistreerd toegangscontrolebeleid inclusief de mogelijkheid deze af te dwingen. Application Controls betreffen de geprogrammeerde controles, die
Authenticatie
onderdeel uitmaken van de toepassingsprogrammatuur voor bedrijfsdoelstellingen. Het aantonen dat de persoon of het systeem ook echt degene is die
Beschikbaarheid
Beschikbaarheidseis Beveiligingsincident
zich aandient. Het waarborgen dat vanuit hun functie geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen). Eis die vast legt welke mate van beschikbaarheid wordt verlangd. Het manifest worden van een beveiligingsrisico als gevolg van: - een overtreding van informatiebeveiligingsregel, bijv. onbevoegde toegang tot ICT-voorzieningen, ruimte of omgeving; - ongebruikelijke (bevoegde) handelingen van beheerders met hoge systeemrechten; - een (vermoeden van) geschonden technische integriteit of vertrouwelijkheid van gegevens;
Beveiligingsniveau Continuïteitsvoorzieningen
Dienst Dienstleverancier ICT-component ICT-voorziening Identificatie Integriteit Koppelvlak
- vermiste of gestolen ICT-componenten. De mate van beveiliging afgedwongen door een set van beveiligingsmaatregelen. Continuïteitsvoorzieningen in ICT-apparatuur scheppen de voorwaarden op het beoogde tijdstip de juiste informatie beschikbaar te stellen aan het klantproces, conform het overeengekomen niveau. Een aangeboden functionaliteit. De leverancier van een dienst op basis van onderliggende systemen en netwerken. Elke verschijningsvorm van apparatuur, systeem- en applicatieprogrammatuur en gegevensbestanden. Applicaties en onderliggende technische infrastructuur, of wel het geheel van ICT-componenten. Het kenbaar maken van de identiteit van personen of systemen. Het waarborgen van de juistheid en volledigheid van informatie en de verwerking daarvan. Het gecontroleerd uitwisselvlak van informatie tussen gekoppelde
Kritisch gegevenselement
zones/netwerken. Gegevenselement waarbij verkeerde invulling verstrekkende gevolgen kan hebben bij verwerking.
Netwerkleverancier Redelijkheidscontrole
De leverancier van netwerkverbindingen. Controle of gegevens kloppen met wat verwacht mag/kan worden.
62 van 63
Tactisch normenkader beveiliging DWR / versie 1.0
Systeemleverancier
De leverancier van een systeem ten behoeve van implementatie
Tussenbestand
van een dienst Een bestand voor tijdelijke opslag van (deel)gegevens tijdens verwerking van gegevens.
Vertrouwelijkheid Verwerking Verwerkingsketen Zone
Het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Het verwerken van gegevens. Het geheel van onderdelen die verantwoordelijk zijn voor de verwerking van gegevens. De logische verzameling van ICT-componenten met hetzelfde beveiligingsniveau, die via beveiligde koppelvlakken gegevens kunnen uitwisselen met andere zones.
63 van 63