BIO Thema Communicatievoorzieningen · tevens op Best Practices als: SoGP, NIST, BSI en COBIT. 1.1....

BIO Thema Communicatievoorzieningen

1-2-2019

BIO Thema Communicatievoorzieningen 1.0 Blz.: 2 van 28

Inhoud

1. INLEIDING 5 1.1. OPZET VAN HET THEMA 5 1.2. CONTEXT VAN COMMUNICATIEBEVEILIGING 5 1.3. SCOPE EN BEGRENZING 6 1.4. GLOBALE RELATIES TUSSEN DE GEÏDENTIFICEERD BEVEILIGINGSOBJECTEN 8 1.5. PRESENTATIE VAN DE OBJECTEN IN DE BUC/IFGS MATRIX 9

2. BELEIDSDOMEIN 10 2.1. DOELSTELLING 10 2.2. RISICO’S 10 2.3. OVERZICHT BELEIDSOBJECTEN EN NORMEN 10

B.01 Beleid en procedures informatietransport 10 B.02 Overeenkomsten over informatietransport 11 B.03 Cryptografiebeleid voor communicatie 12 B.04 Organisatiestructuur van netwerkbeheer 12

4. UITVOERINGSDOMEIN 13 2.4. DOEL 13 2.5. RISICO’S 13 2.6. OBJECTEN VOOR HET UITVOERINGSDOMEIN 13

U.01 Richtlijnen voor netwerkbeveiliging 14 U.02 Beveiligde inlogprocedure 15 U.03 Netwerk beveiligingsbeheer 15 U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst 16 U.05 Beveiliging van netwerkdiensten 16 U.06 Zonering en filtering 17 U.07 Elektronische berichten 18 U.08 Toepassingen via openbare netwerken 19 U.09 Gateways en firewalls 19 U.10 Virtual Private Networks (VPN) 20 U.11 Cryptografische services 20 U.12 Wireless Access 21 U.13 Netwerkconnecties 21 U.14 Netwerkauthenticatie 22 U. 15 Netwerk-beheeractiviteiten 22 U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events) 23 U.17 Netwerk beveiligingsarchitectuur 23

2 CONTROL DOMEIN 24 2.7. DOELSTELLING 24 2.8. RISICO’ 24 2.9. CONTROL OBJECTEN 24

C.01 Naleving richtlijnen netwerkbeheer en evaluaties 24 C.02 Netwerkbeveiliging compliance checking 25 C.03 Evalueren van robuustheid netwerkbeveiliging 26 C.04 Evalueren van netwerkgebeurtenissen (monitoring) 26 C.05 Beheerorganisatie netwerkbeveiliging 27

BIJLAGE 1 DEFINITIE VAN OBJECTEN 27

1-2-2019


Colofon

Onderwerp : BIO Thema Communicatievoorzieningen

Datum : 1-2-2019

Versie : Concept 1.0

Uitgebracht aan : Voorzitter Werkgroep BZK: Henk Wesselink

Directeur: CIP: Ad Reuijl

Documentbeheer BIO Thema: Communicatievoorziening

Naam Organisatie

Jaap van der Veen (JV) Ministerie van Financiën/Belastingdienst

Jan Breeman (JB) UWV/CIP

Joop Hagman (JH) Veiligheidsregio Noord-Holland Noord

Paul Coret (PC) Hoogheemraadschap Delfland

Peter van Dijk (PD) VNG/IBD

Peter Kruger (PK) Justitiële Informatiedienst

René Reith (RR) Provincie Zuid-Holland

Wiekram Tewarie (WT) Doelorganisatie/CIP

Historie en versie

Versie Doel Naam Status

0.1 Initiële opzet Wiekram Tewarie, Startdocument

0.11 Aanvulling op 0.1 Jaap van der Veen Werkdocument

0.21 review werkgroep verwerkt Paul Coret, Joop Hagman,

Eric Post, Peter Kruge, BK

Werkdocument

0.3 kookdag 1 Paul Coret, Joop Hagman,

Eric Post, Peter Kruge, BK

Werkdocument

0.32 Objecten verwerkt, structuur

verbeterd en overzichten in

IFGS/BUC

Paul Coret, Jaap van der Veen,

Joop Hagman, Peter Kruge,

Eric Post, BK

Werkdocument

0.33 Objecten uit ISO27033

toegevoegd

Jaap van der Veen Werkdocument

0.34 Onderscheid generiek object

vervalt


0.36 Review van geïnventariseerde

Objecten uit BIO en ISO27033

Wiekram Tewarie, Jaap van der

Veen

Werkdocument

0.37 Uitwerking van objecten uit

BIO en ISO27033


0.38 Reviewopmerkingen verwerkt Jaap van der Veen Werkdocument

0.39 Reviewopmerkingen verwerkt Jaap van der Veen Werkdocument

0.4 Afbeelding 2, + opm. 3e Jaap van der Veen Werkdocument

1-2-2019


workhop

0.5 Generiek/Specifiek

doorgevoerd


0.61 Figuren aangepast, teksten

gecomprimeerd


0.63 Figuren aangepast, review

bijgewerkt


0.9 Bijgewerkt tot conceptversie Wiekram Tewarie, Jaap van der

Veen,

Jan Breeman

concept

1.0 29-1-2019 Bijgewerkt tot conceptversie Wiekram Tewarie, Jaap van der

Veen,

Jan Breeman

Concept

1-2-2019


1. Inleiding

Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit

de ISO27001-annex A, de BIO (Baseline Informatiebeveiliging Overheid), op de implementatiegids ISO27033 en

tevens op Best Practices als: SoGP, NIST, BSI en COBIT.

1.1. Opzet van het thema

Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO 1.0

overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de

BSI, de NIST en SoGP. NORA patronen zijn gebruikt voor figuren en begeleidende teksten. De implementatiegids

ISO-27033-deel 1 t/m 6 biedt, gerelateerd aan de ISO-27002, overzicht en een technische duiding van “Network

security”.

Dit thema volgt de standaard opzet voor BIO-thema’s:

1. context en globale structuur van het thema;

2. scope en begrenzing;

3. identificatie van beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen, inclusief de

referenties;

4. globale relaties van de geïdentificeerde beveiligingsobjecten (toepassing);

5. presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten.

1.2. Context van Communicatiebeveiliging

De basis voor de uitwerking van het thema Communicatievoorzieningen is ISO-27002 ( als baseline voor de

overheid 1:1 omgezet in de BIO). In hoofdstuk 13 daarvan worden verschillende type communicatievoorzieningen

genoemd, zoals geïllustreerd in Afbeelding 1.

openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media

(vehikel);

elektronische berichten – informatie opgenomen in elektronische berichten (inhoud);

informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email,

telefoon, fax video (inhoud);

netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en

technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel);

- netwerk(infrastructuur) - dit betreft de fysieke en logische verbindingen (vehikel).

Afbeelding 1: Communicatiebeveiliging volgens BIO

1-2-2019


Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft één of meer koppelingen

met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de

netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste

netwerkvoorzieningen.

In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan

netwerkvoorzieningen. Onderstaande afbeelding schetst de belangrijkste soorten van netwerkkoppelingen:

tussen organisaties onderling;

tussen organisaties en publieke netwerken;

binnen organisaties.

Afbeelding 2 Soorten netwerkkoppelingen

Doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een

op hard- en softwarematige gebaseerde beveiligde verzameling van informatie.

De beveiligingsmaatregelen binnen ISO hebben betrekking op de hiervoor vermelde communicatievoorzieningen.

Een van de meest toegepaste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering en

compartimentering, tezamen ”zonering” genoemd.

Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: “Vertrouwd toegangspad” en beveiliging

in “Koppelvlakken”. Hiervoor bieden de NORA patronen een praktische invulling.

In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en

logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten,

waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment.

1.3. Scope en Begrenzing

Dit thema omvat de set communicatie-beveiligingsobjecten en maatregelen voor netwerkvoorzieningen, zoals

weergegeven in afbeelding 1. De uitwerking van dit thema beperkt zich tot deze type communicatievoorzieningen1.

Er zijn essentiële objecten uit andere baselines gebruikt, die gerelateerd zijn dit type communicatievoorzieningen.

Bepaalde type communicatiefaciliteiten, zoals: VOIP, intranet en extranet zijn in dit thema niet uitgewerkt. Er

wordt niet diepgaand op:

bepaalde type verbindingen, zoals VPN en Gateway verbindingen;

communicatie voorzieningen, zoals: instant messaging en email.

Onderstaande tabel geeft een overzicht van relevante beveiligingsobjecten voor communicatievoorzieningen,

afkomstig uit de ISO27002 standaard, die de BIO exact volgt qua hoofdstukindeling en control-teksten.

Voor die onderwerpen waarvoor de BIO geen control heeft geformuleerd, is gerefereerd naar andere standaarden,

zoals de ISO-implementatiestandaard voor Netwerkbeveiliging: ISO27033 deel 1-6, waarin tevens de relaties zijn

gelegd met de ISO27002.

1 Hiervoor zijn de ISO implementatiegidsen: ISO27033-2- 27033-6 en NORA patronen in adviserende zin beschikbaar.

De ISO27033 draagt de titel: Information technology- Networksecurity, bedoeld als implementatiegids voor de ISO27002.

De ISO-27033 bestaat uit 6 delen. Deel 1 bevat algemene ‘controls’ voor communicatiebeveiliging, deel 2 beschrijft

ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP

netwerktoegang.

1-2-2019


Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS

B.01 Beleid en procedures informatietransport BIO:132.2.1, ISO27033-1: 6.2 I

B.02 Overeenkomsten over informatietransport BIO:13.2.2, ISO27033-1

BSI IT-Grundschutz: S.6

F

B.03 Cryptografiebeleid voor

communicatievoorzieningen

BIO: 10.3.1, 18.1.5.1

ISO27033-1: 8.8,

G

B.04 Organisatiestructuur van netwerkbeheer BSI S4.2, ISO27033-1: 8.2

ITIL: Netwerkbeheer

S

U.01 Richtlijnen voor netwerkbeveiliging BIO:8.2.2.3, ISO27033-1

ISO27033-2: 6,7,8

I

U.02 Beveiligde inlogprocedure BIO:9.4.2, ISO27033-1: 8.4 I

U.03 Netwerk beveiligingsbeheer BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 F

U.04 Vertrouwelijkheid- en

geheimhoudingsovereenkomst

BIO:13.2.4, SoGP: NW1.1 F

U.05 Beveiliging van netwerkdiensten BIO:13.1.2, ISO27033-1: 10.6 F

U.06 Zonering en filtering BIO:13.1.3, ISO27033-1: 10.7

ISO27033-2: 7.2.3

NORA Patronen: Zoneringsmodel

F

U.07 Elektronische berichten BIO:13.2.3, ISO27033-1: 10.3, 10.8 F

U.08 Toepassingen via openbare netwerken BIO: 14.2.1 F

U.09 Gateways en firewalls ISO27033-4, SoGP: NC1.5

NORA Patronen: Koppelvlak

G

U.10 Virtual Private Networks (VPN) ISO27033-5

NORA Patronen: Vertrouwd toegang-

pad

G

U.11 Cryptografische services BIO:10, ISO27033-1: 8.2.2.5

SoGP: NC1.1

NORA Patronen: Encryptie

G

U.12 Wireless Access ISO27033-6

NORA Patronen: Draadloos netwerk

G

U.13 Netwerkconnecties BIO:8.2.2.5, ISO27033-1


G

U.14 Netwerkauthenticatie NORA Patronen: Beschouwingsmodel

Netwerk

G

U.15 Netwerk beheeractiviteiten ISO27033-1: 8.4, ISO27033-2: 8.4 G

U.16 Vastleggen en monitoren van

netwerkgebeurtenissen (events)

ISO27033-1: 8.5

ISO27033-2: 8.5

G

U.17 Netwerk beveiligingsarchitectuur BIO:9.2, ISO27033-1

ISO27033-2: 8.6

SoGP: Network design

NORA Patronen: Diverse patronen

S

C.01 Naleving richtlijnen netwerkbeheer en evaluaties BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 I

C.02 Netwerkbeveiliging compliancy checking BIO:8.2.2.4, ISO27033-1

ISO27033-2: 7.2.6, 8.7

F

C.03 Evalueren van robuustheid netwerkbeveiliging BIO:18.1.2, 18.2.1,

ISO27033-1: 8.2.5, SoGP: NW1.3

F

C.04 Evalueren van netwerkgebeurtenissen BIO:8.2.4, ISO27033-1 G

1-2-2019


(monitoring)

C.05 Beheersorganisatie netwerkbeveiliging ISO27003: ISMS, SoGP: NW1.4 S

1.4. Globale relaties tussen de geïdentificeerd beveiligingsobjecten

Onderstaande afbeelding geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een IV-

landschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van Netwerk Connecties (NC)

die de verschillende netwerken en informatievoorzieningen met elkaar verbinden.

Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s.

Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van binnen- en buitenwereld en

een gecontroleerde doorgang van vertrouwde informatie.

Cryptografische services verzorgen zonering voor gegevenstransport via private en publieke netwerken, zodat

informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt.

In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk

verbonden via Wireless Access en beveiligd met o.a. netwerkauthenticatie.

Een netwerkbeheerorganisatie draagt op basis van richtlijnen zorg voor de instandhouding van netwerkbeveiliging

en het ‘up-to-date’ houden van beveiligingsmaatregelen.

Via vastleggen van events, evaluatie netwerkmonitoring en evalueren van netwerkbeveiliging wordt de actuele

werking van de maatregelen getoetst en waar nodig versterkt.

Meer over de technologie van de beveiligingsobjecten is te vinden op de NORA Wiki; thema Beveiliging,

(www.noraonline.nl) bij de “Patronen voor informatiebeveiliging”.

Afbeelding 3: Toepassing van beveiligingsobjecten

http://www.noraonline.nl/

1-2-2019


1.5. Presentatie van de objecten in de BUC/IFGS matrix

Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven, in zowel de lagen B-U-C, als

in de IFGS-kolommen. De grijs ingekleurde zijn ‘generiek’. Voor de wit- ingekleurde objecten heeft de BIO geen

control gedefinieerd, deze objecten zijn voor het grootste deel afkomstig uit de ISO27033 implementatiegidsen

deel 1 t/m 6.

Afbeelding 4 Overzicht beveiligingsobjecten

1-2-2019


2. Beleidsdomein

2.1. Doelstelling

Dit domein beschrijft BIO-normatieve eisen voor beleid, die rand voorwaardelijk en bedoeld zijn voor de realisatie

en operatie van communicatievoorzieningen.

2.2. Risico’s

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige

inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële

schade aan de bedrijfsvoering.

2.3. Overzicht beleidsobjecten en normen

Onderstaande afbeelding is het resultaat van SIVA analyse op relevante objecten voor IV-beleid. Grijs gekleurd zijn

de generieke objecten, hieronder toegespitst op communicatiebeveiliging. De wit ingekleurde objecten ontbreken

als control in de ISO-2700x, maar zijn ook cruciaal voor dit thema.


B.01 Beleid en procedures informatietransport BIO:132.2.1, ISO27033-1: 6.2 I

B.02 Overeenkomsten over informatietransport BIO:13.2.2, ISO27033-1

BSI IT-Grundschutz: S.6

F

B.03 Cryptografiebeleid voor communiicatie BIO: 10.3.1, 18.1.5.1

ISO27033-1: 8.8,

G

B.04 Organisatiestructuur van netwerkbeheer BSI S4.2, ISO27033-1: 8.2

ITIL: Netwerkbeheer

S

B.01 Beleid en procedures informatietransport

De ISO 27002 (pg.74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een

beveiligde dienstverlening, architectuur, software en een beveiligd systeem. Dit object richt zich op

‘inrichtings- en onderhoudsaspecten’ van communicatievoorzieningen. In het te formuleren beleid

worden o.a. standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van

communicatievoorzieningen.

B.01 Beleid en procedures informatietransport ISO27002:

13.2.1

Control Ter bescherming van het informatietransport, dat via allerlei soorten

communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en

beheersmaatregelen voor transport van kracht te zijn.

Conformiteitsindicatoren en Maatregelen

beleidsregels 1. Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van

communicatiefaciliteiten.

ISO27002:

13.2.1 d

Afbeelding 5: Afbeelding 5 Overzicht van beleidsobjecten

1-2-2019


2. Beleid of richtlijnen omschrijven het toepassen van cryptografie voor

bescherming van de vertrouwelijkheid, integriteit en authenticiteit van

informatie.

ISO27002:

13.2.1 f

3. Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze

netwerken verstuurd mag worden.

CIP

Domeingroep

BIO

procedures 4. Procedures beschrijven het beveiligen van informatie tegen onderscheppen,

kopiëren, wijziging, foutieve routering en vernietiging.

ISO27002:

13.2.1 a

5. Procedures beschrijven het opsporen van en beschermen tegen malware die

kan worden overgebracht middels elektronische communicatie (zie 12.2.1).

ISO27002:

13.2.1 b

6. Procedures beschrijven het beschermen van als bijlage gecommuniceerde

gevoelige informatie.

ISO27002:

13.2.1 c

beheers-

maatregelen

7. E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig

en geautomatiseerd doorgestuurd.

ISO27002:

13.2.1 j

B.02 Overeenkomsten over informatietransport

Bij het gebruik van communicatievoorzieningen behoren beveiligingsprincipes in acht te worden

genomen. In de ISO27002 wordt één principe expliciet genoemd: “Overeenkomsten behoren

betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en

externe partijen.” Andere baselines (zoals SoGP) beschrijven nog verschillende andere relevante

inrichtingsprincipes.

B.02 Overeenkomsten over informatietransport ISO27002:

13.2.2

Control Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren

van bedrijfsinformatie tussen de organisatie en externe partijen.


overeen-

komsten

1. Overeenkomsten over informatietransport bevatten o.a. de volgende

elementen:

a. directieverantwoordelijkheden voor het beheersen en notificeren van

overdracht, verzending en ontvangst;

b. procedures voor het waarborgen van de traceerbaarheid en

onweerlegbaarheid;

c. speciale en vereiste beheersmaatregelen voor het beschermen van

gevoelige informatie, zoals cryptografie;

d. het handhaven van een bewakingsketen voor informatie tijdens

verzending;

e. acceptabele niveaus van toegangsbeveiliging.

ISO27002:

13.2.2

2. In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.

1-2-2019


B.03 Cryptografiebeleid voor communicatie

In ISO27002 worden ten aanzien van communicatievoorzieningen de volgende principes expliciet

genoemd:

het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar

stellen van passende communicatievoorzieningen;

tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter

bescherming van informatie en voor de bescherming, het gebruik en de levensduur van

cryptografische beheersmaatregelen (zoals crypto-sleutels).

B.03 Cryptografiebeleid voor communicatie ISO27002:

10.1

Control Ter bescherming van informatie behoort voor het gebruik van cryptografische

beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en

geïmplementeerd.


cryptografie-

beleid

1. In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

a. wanneer cryptografie ingezet wordt;

b. wie verantwoordelijk is voor de implementatie van cryptografie;

c. wie verantwoordelijk is voor het sleutelbeheer;

d. welke normen als basis dienen voor cryptografie en de wijze waarop de

normen van het Forum Standaardisatie worden toegepast;

e. de wijze waarop het beschermingsniveau wordt vastgesteld;

f. het onderling vaststellen van het beleid bij inter-organisatie

communicatie.

ISO27002:

10.1.1.1

2. Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:

a. welk type gegevens moet voor welke communicatievorm worden

versleuteld;

b. welk type gegevens elektronisch worden ondertekend;

c. aan welke standaarden de cryptografische toepassingen dienen te

voldoen;

d. in hoeverre backwards-compatibility voor algoritmen en protocollen t.b.v.

netwerken mag worden toegepast.

CIP

Domeingroep

BIO

B.04 Organisatiestructuur van netwerkbeheer

In de ISO27002 worden geen organisatorische principes genoemd voor communicatievoorzieningen.

De Duitse BSI benoemt daarvoor meerdere principes, die aangeven dat in beleid is vastgesteld, dat

voor het beheer van netwerken een centrale organisatiestructuur benodigd is.

B.04 Organisatiestructuur van netwerkbeheer BSI S 4.2

Control In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur

gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel

mogelijk van de hardware en software componenten daarvan.


organisatie-

structuur

1. In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende

beheersingsprocessen benoemd: configuratie-, performance-, fault-, en

beveiligingsbeheer (securitymanagement).

ISO7498-4,

X.700 ITU

2. De beheer(sing)processen hebben in overeenstemming met het

informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.

CIP

Domeingroep

BIO

3. De taken en verantwoordelijkheden van de verantwoordelijke functionarissen

voor deze processen zijn duidelijk gedefinieerd.

CIP

Domeingroep

BIO

1-2-2019


4. Uitvoeringsdomein

2.4. Doel

Het doel van het uitvoeringsdomein is te waarborgen dat de netwerkinfrastructuur is ingericht overeenkomstig

specifieke beleidsuitgangspunten en dat aan de eisen ten aanzien van beschikbaarheid, integriteit,

vertrouwelijkheid en controleerbaarheid bij het ontwerp en implementatie is voldaan.

2.5. Risico’s

De belangrijkste risico’s van netwerk(diensten) zijn: negatieve beïnvloeding van de beveiligingsniveaus door

koppeling van netwerken, illegaal gebruik, onderbrekingen, afluistering van getransporteerde data,

kwetsbaarheden in uitvoerbare code en fysieke of logische inbreuk op netwerkelementen.

2.6. Objecten voor het uitvoeringsdomein

Per object zijn hierna de maatregelen uitgewerkt die risico’s kunnen reduceren. Voor de implementatie wordt

verwezen naar de zes uitvoeringskaders van de ISO27033 en NORA - Beveiliging.

Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven in zowel de lagen B-U-C, als in

de IFGS-kolommen. De grijs omrande objecten zijn ‘generiek’. Voor de wit ingekleurde objecten heeft de BIO/ISO-

27002 geen control gedefinieerd. Deze objecten zijn voor het grootste deel afkomstig uit de ISO27033

implementatiegidsen deel 1 t/m 6.


U.01 Richtlijnen voor netwerkbeveiliging BIO:8.2.2.3, ISO27033-1

ISO27033-2: 6,7,8

I

U.02 Beveiligde inlogprocedure BIO:9.4.2, ISO27033-1: 8.4 I

U.03 Netwerk beveiligingsbeheer BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 F

U.04 Vertrouwelijkheid- en


BIO:13.2.4, SoGP: NW1.1 F

U.05 Beveiliging van netwerkdiensten BIO:13.1.2, ISO27033-1: 10.6 F

U.06 Zonering en filtering BIO:13.1.3, ISO27033-1: 10.7

ISO27033-2: 7.2.3

NORA Patronen: Zoneringsmodel

F

U.07 Elektronische berichten BIO:13.2.3, ISO27033-1: 10.3, 10.8 F

U.08 Toepassingen via openbare netwerken BIO: 14.2.1 F

U.09 Gateways en firewalls ISO27033-4, SoGP: NC1.5


G


NORA Patronen: Vertrouwd toegang-

pad

G

U.11 Cryptografische services BIO:10, ISO27033-1: 8.2.2.5

SoGP: NC1.1

NORA Patronen: Encryptie

G


NORA Patronen: Draadloos netwerk

G

U.13 Netwerkconnecties BIO:8.2.2.5, ISO27033-1


G

U.14 Netwerkauthenticatie NORA Patronen: Beschouwingsmodel

Netwerk

G

U.15 Netwerk beheeractiviteiten ISO27033-1: 8.4, ISO27033-2: 8.4 G

U.16 Vastleggen en monitoren van

netwerkgebeurtenissen (events)

ISO27033-1: 8.5

ISO27033-2: 8.5

G

U.17 Netwerk beveiligingsarchitectuur BIO:9.2, ISO27033-1 S

1-2-2019


ISO27033-2: 8.6

SoGP: Network design

NORA Patronen: Diverse patronen

Afbeelding 6 Overzicht van Uitvoeringsobjecten

U.01 Richtlijnen voor netwerkbeveiliging

De ISO27002 beschrijft geen operationele principes voor communicatievoorzieningen, maar verwijst

hiervoor naar de NEN/ISO270033 (deel 1 t/m 6). Enkele principes zijn in de ISO27002 expliciet

genoemd, o.a. dat de bescherming van informatie in netwerken en de ondersteunende informatie

verwerkende faciliteiten (voortdurend) dient te worden gewaarborgd.

U.01 Richtlijnen voor netwerkbeveiliging ISO27033-2

Control Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor

ontwerp, implementatie en beheer2.


ontwerp 1. De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende

stappen:

1. identificatie van de middelen (assets);

2. inventarisatie van de functionele eisen;

3. beoordeling van de functionele eisen in de context van het beoogd

gebruik;

4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;

5. evaluatie van bestaande ontwerpen en implementaties.

ISO 27033-2:

6

2. Leidende ontwerpprincipes, zoals “defence in depth”, worden gehanteerd of

anders geformuleerd: “inbraak betekent geen doorbraak”.

Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van

netwerken, zoals door het toepassen van redundancy, backup van

configuratiegegevens en snel beschikbare reservedelen.

ISO27033-2:

7.2.2

2 Voorbeeld: ISO27033 deel 2

1-2-2019


3. Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).

4. Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.

implemen-

tatie

5. De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp

zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033,

hoofdstuk 8.

ISO27033-2:

8

beheer 6. Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden.

U.02 Beveiligde inlogprocedure

De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij

dient de geclaimde identiteit op passende wijze en met geschikte techniek te worden vastgesteld. De

procedure om in te loggen wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is.

U.02 Beveiligde inlogprocedure ISO27002:

9.4.2

Control Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot

(communicatie) systemen en toepassingen te worden beheerst door een

beveiligde inlogprocedure.


inlog-

procedure

1. Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt

vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt

bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een

registratie blijkt hoe de rechten zijn toegekend.

ISO27002:

9.4.2.2

2. Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een

vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor

authenticatie.

ISO27002:

9.4.2.1

3. Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en

geautoriseerde applicaties). Drie gebieden, waarvoor expliciete

inlogmechanismen worden toegepast zijn:

1. remote Log-in:

voor gebruikers die van buiten inloggen op de door de organisatie

beheerde bedrijfsnetwerken;

2. versterkte authenticatie:

voor toepassingen waarbij de ‘standaard’ authenticatie van gebruikers

(en applicaties) kan worden gecompromitteerd;

3. Single Sign-On (SSO):

voor situaties, waarbij netwerken worden geacht authenticatie-checks uit

te voeren voor verschillende toepassingen.

ISO27033-2:

7.2.3

U.03 Netwerk beveiligingsbeheer

Beheer en beheersing van netwerken zijn randvoorwaarden voor netwerkbeveiliging en vormen

waarborgen voor de veiligheid van de informatie die via netwerken en ondersteunende informatie

verwerkende faciliteiten wordt getransporteerd.

U.03 Netwerk beveiligingsbeheer ISO27002:

13.1.1

Control Netwerken behoren te worden beheerd en beheerst om informatie in systemen

en toepassingen te beschermen.


beheerd 1. Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en

procedures vastgesteld.

ISO27002:

13.1.1 a

2. Netwerken worden geregistreerd en gemonitord conform vastgelegde

procedures en richtlijnen.

ISO27002:

13.1.1 c

1-2-2019


3. Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de

dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat

beheersmaatregelen consistent in de hele informatie verwerkende

infrastructuur worden toegepast.

ISO27002:

13.1.1 e

4. Ter bescherming tot netwerkdiensten en/of – voor zover noodzakelijk – van -

toepassingen zijn voor het beperken van de toegang procedures opgesteld.

beheerst 5. De functies van operationele netwerkbeheer en overige computerbewerkingen

zijn gescheiden.

ISO27002:

13.1.1 b

6. Systemen worden voorafgaand aan de toegang tot het netwerk

geauthentiseerd.

ISO27002:

13.1.1 f

U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst

In vertrouwelijkheids- of geheimhoudingsovereenkomsten worden, binnen juridisch afdwingbare

voorwaarden, de eisen vastgelegd voor de benodigde bescherming van vertrouwelijke informatie.

U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst ISO27002:

13.2.4

Control Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten die de

behoeften van de organisatie betreffende het beschermen van informatie

weerspiegelen behoren te worden vastgesteld, regelmatig te worden

beoordeeld en gedocumenteerd.


vertrouwelijk

heids- en

geheimhou-

dings-

overeen-

komsten

1. Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten,

worden de volgende elementen in overweging genomen:

a. de looptijd van een overeenkomst;

b. de benodigde acties bij beëindiging;

c. de acties van ondertekenaars bij onbevoegde openbaarmaking van

informatie;

d. hoe eigendom van vertrouwelijke informatie zich verhoudt tot de

bescherming;

e. het toegelaten gebruik van vertrouwelijke informatie en de rechten van

de ondertekenaar om informatie te gebruiken;

f. de voorwaarden voor het teruggeven of vernietigen van informatie na

beëindiging;

g. de acties in geval van schending van de overeenkomst;

h. de privacyregelgeving (UAVG en AVG/GDPR).

ISO27002:

13.2.4

U.05 Beveiliging van netwerkdiensten

De eisen voor de communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de

informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde

toegang tot de transportvoorzieningen zelf.

U.05 Beveiliging van netwerkdiensten ISO27002:

13.1.2

Control Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle

netwerkdiensten behoren te worden geïdentificeerd en opgenomen in

overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten

die intern worden geleverd als voor uitbestede diensten.


1-2-2019


beheereisen 1. Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en

geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen

(zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen),

zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van

een risico-inschatting, mede aan de hand van de aard van de te beschermen

gegevens en informatiesystemen.

ISO27002:

13.1.2.1

2. Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen

worden deze, rekening houdend met de geldende juridische kaders, gedeeld

binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij

voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).

ISO27002:

13.1.2.2

dienst-

verlenings-

niveaus

3. Het dienstverleningsniveau wordt afgestemd op de volgende eisen:

vereiste performance en beschikbaarheid van het netwerk;

toegestane verbindingstypen;

toegestane netwerkprotocollen;

toegepaste applicaties op de te leveren netwerkservices;

beoogde architectuur- en ontwerpprincipes.

ISO27033-2

6.3 en 6.4

beveiligings-

mechanis-

men

4. Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het

gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor

het NBV een positief inzet advies heeft afgegeven.

ISO27002:

13.1.2.3

5. De noodzakelijke beveiligingsmechanismen in de vorm van technische

beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en

versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.

ISO27002:

13.1.2.3

6. Beveiligingsmechanismen voor communicatie worden voorzien op de volgende

OSI lagen:

applicatie niveau; ten behoeve van authenticiteit, integriteit,

vertrouwelijkheid en onweerlegbaarheid: Encryptie;

transport niveau; ten behoeve van veilige point to point verbindingen:

Encryptie;

netwerk niveau; ten behoeve van veilige communicatie tussen devices,

encryptie, firewalls en netwerk verbindingen: VPN.

ISO27002:

13.1.2.3

U.06 Zonering en filtering

Door scheiding aan te brengen in netwerken, ook wel segmentering genoemd, kunnen netwerken

worden beheerd, beveiligd en beheerst. Om vervolgens vanuit het ene netwerk naar de andere veilig

te kunnen communiceren, moeten gecontroleerde doorgangen worden gemaakt. In die doorgangen

worden filtermechanismen aangebracht, die alleen die communicatie doorlaat, die vanuit het beleid is

toegestaan en waarmee ongeoorloofde toegang wordt voorkomen. De scheiding met gecontroleerde

doorgangen heet ‘zonering’.

U.06 Zonering en filtering ISO27002:

13.1.3

Control Groepen van informatiediensten, -gebruikers en -systemen behoren in

netwerken te worden gescheiden (in domeinen).


gescheiden

(in

domeinen)

1. Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond

van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen

binnen een domein en het beoogde betrouwbaarheidsniveau.

ISO27002:

13.1.3

NORA-

Netwerk

2. Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. ISO27002:

13.1.3.1

1-2-2019


3. Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de

gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt

beheerst door middel van een gateway (bijv. een firewall, een filterende

router).

ISO27002:

13.1.3

NORA-

Netwerk en

Koppel-

vlakken

4. Draadloze toegang tot gevoelige domeinen wordt behandeld als externe

verbinding en wordt beveiligd op basis van eisen geldend voor externe

verbindingen.

ISO27002:

13.1.3

U.07 Elektronische berichten

Beveiliging van elektronisch berichtenverkeer, omvat e-mail, web-verkeer, chat-sessies en ‘streaming’

van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreft:

correcte adressering;

geautoriseerde toegang;

integer datatransport;

toereikend zijn van de beschikbaarheid;

voldoen aan (wettelijke) bepalingen voor elektronische handtekening en onweerlegbaarheid.

U.07 Elektronische berichten ISO27002:

13.2.3

Control Informatie die is opgenomen in elektronische berichten, behoort passend te

zijn beschermd.


passend 1. Voor de beveiliging van elektronische berichten gelden de vastgestelde

standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van

het Forum Standaardisatie.

ISO27002

:13.2.3.1

2. Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-

Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.

ISO27002:

13.2.3.2

3. Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van

PKI-Overheid certificaten. Gevoelige gegevens zijn o.a. digitale documenten

binnen de overheid waar gebruikers rechten aan kunnen ontlenen.

ISO27002:

13.2.3.3

4. Voor het garanderen van de zekerheid van elektronische berichten wordt

gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102

176-1 (en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum

Standaardisatie)

ISO27002:

13.2.3.4

5. Voor de beveiliging van elektronische berichtenverkeer worden passende

maatregelen getroffen, zoals:

berichten beschermen tegen onbevoegde toegang, wijziging of weigering

van dienstverlening in overeenstemming met het classificatieschema van

de organisatie;

correcte adressering en transport van het bericht waarborgen;

herstelbaarheid van onderbroken communicatie en beschikbaarheid van

de dienst;

wettelijke bepalingen zoals eisen voor elektronische handtekeningen;

toestemming verkrijgen van het verantwoordelijk management en

gegevenseigenaren, voorafgaand aan het gebruiken van externe

openbare diensten zoals instant messaging, sociale netwerken of delen

van bestanden;

2-factor authenticatie voor toegang vanuit openbaar toegankelijke

netwerken.

ISO27002:

13.2.3

https://www.forumstandaardisatie.nl/open-standaarden/lijst/verplicht




https://www.forumstandaardisatie.nl/standaard/ades-baseline-profiles

http://www.etsi.org/deliver/etsi_ts/102100_102199/10217601/02.00.00_60/ts_10217601v020000p.pdf

http://www.etsi.org/deliver/etsi_ts/102100_102199/10217601/02.00.00_60/ts_10217601v020000p.pdf

1-2-2019


U.08 Toepassingen via openbare netwerken

Het via openbare netwerken, zoals het internet, beschikbaar stellen van ICT-toepassingen vereist

aanvullende maatregelen ten opzichte van het beschikbaar stellen via besloten netwerken, zoals LAN’s

en intranet. Organisaties moeten zelf bepalen welke maatregelen toereikend zijn voor het beperken

van risico’s als gevolg van frauduleuze activiteiten, geschillen over contracten en onbevoegde

openbaarmaking en wijziging of verminking van gegevens.

U.08 Toepassingen via openbare netwerken ISO27002:

14.1.2

Control Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare

netwerken wordt uitgewisseld, behoort te worden beschermd tegen

frauduleuze activiteiten, geschillen over contracten en onbevoegde

openbaarmaking en wijziging.


openbare

netwerken

1. Met communicerende partijen worden afspraken gemaakt over:

wederzijdse authenticatie;

bevoegdheden voor gebruik van de dienst;

integriteit en vertrouwelijkheid van transacties, belangrijke documenten

en onweerlegbaarheid van ontvangst;

passende verificatie voor de controle van de transactie.

SoGP: NC1.4

U.09 Gateways en firewalls

Gateways en firewalls realiseren de maatregelen voor zowel Zonering als voor Filtering en zijn niet

expliciet genormeerd in de ISO27002. De implementatiegids voor Gateways: ISO27033 deel 4 bevat

hiervoor het principe, dat gateways en firewalls filterfuncties behoren te bevatten, welke zodanig

geconfigureerd zijn dat alle netwerkverkeer, zowel inkomend als uitgaand, wordt gecontroleerd en dat

uitsluitend toegestaan netwerkverkeer wordt doorgelaten.

U.09 Gateways en firewalls ISO27033-4

Control De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd,

dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij

in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan

netwerkverkeer wordt doorgelaten.


filterfunctie 1. Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de

complete configuratie en de functionele eisen van de gateway of firewall

beschrijft.

SoGP: NC1.5

2. De filterfunctie van gateways en firewalls is instelbaar. SoGP: NC1.5

3. Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig -

doorgegeven aan centrale systemen zoals SIEM.

SoGP: NC1.5

toegestaan 4. Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. SoGP: NC1.5

1-2-2019


U.10 Virtual Private Networks (VPN)

VPN’s zijn niet expliciet genormeerd in de ISO27002. Een VPN is een zoneringsmaatregel die een

strikte scheiding van netwerkconnecties met andere netwerken mogelijk maakt tussen zowel publieke

als private netwerken. De ISO27033 deel 5 is een implementatiegids voor VPN’s.


Control Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij

de getransporteerd informatie die over een VPN wordt getransporteerd, is

ingeperkt tot de organisatie die de VPN gebruikt.


gescheiden

end-to-end

connecie

1. De end-to-end connectie:

wordt gecreëerd door scheiding van adresseringsruimte en routeringen

tussen VPN’s over het onderliggende netwerk;

geeft garanties, dat de interne structuur van het onderliggende netwerk

niet zichtbaar is voor andere netwerken;

biedt bescherming tegen Denial of Service attacks en ongeautoriseerde

toegang;

biedt bescherming tegen label-spoofing (het mogelijk injecteren van

foute labels).

ISO27033-5:

6

U.11 Cryptografische services

De ISO27002 normeert beleid voor cryptografie en sleutelbeheer.

Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming

van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor versleuteling

van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en

netwerkconnecties.

De Pas-Toe-en-Leg-Uit lijst van het Forum Standaardisatie benoemt passende beheersmaatregelen.

U.11 Cryptografische Services ISO27002:

10

Control Ter bescherming van de integriteit en vertrouwelijkheid en van de

getransporteerde informatie behoren passende cryptografische

beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.

ISO27033-1:

8.8


vertrouwe-

lijkheid

1. Voor het waarborgen van de vertrouwelijkheid van communicatie tussen

zender en ontvanger wordt versleuteling toegepast op één of meer van de

juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI)

faciliteert deze functie.

ISO27033-1:

8.8

integriteit 2. Voor het waarborgen van de integriteit van communicatie tussen zender en

ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden

zijn:

communicatieprotocollen, die de ontvangst onweerlegbaar maken;

applicatieprotocollen, die de signatuur van de zender gebruiken voor

onweerlegbaarheid van ontvangst en de integriteit van de ontvangen

data.

ISO27033-1:

8.8

cryptogra-

fische

3. Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op

de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie

ISO27002:

18.1.5.1

1-2-2019


beheers-

maatregelen

4. Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-

standaarden, voor de sterkte, met een voor de toepassing en context relevante

sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:

Advanced Encryption Standard (AES);

sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware”

toepassingen.

ISO18033

U.12 Wireless Access

Draadloze toegang, ofwel wireless access, is niet expliciet genormeerd in de ISO27002. De

implementatiegids ISO27033-deel 6 beschrijft operationele maatregelen voor de relatief kwetsbare

draadloze netwerken.


Control Draadloos verkeer behoort te worden beveiligd met authenticatie van devices,

autorisatie van gebruikers en versleuteling van de communicatie.


authenticatie

autorisatie

en

versleuteling

van de

communica-

tie

1. Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de

volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:

netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatie (EAP-

TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde

gebruikers.

integriteitcontrolemechanismen voorkomen Man-in the middle attacks;

encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol

wordt standaard toegepast, met backwards compatibility mogelijkheden

voor ondersteuning van oudere of minder sterke protocollen;

autorisatie van mobiele clients, b.v. via MAC adresfiltering;

toegangscontrole van eindgebruikers, b.v. via RBAC;

niet toegestane typen netwerkverkeer worden geblokkeerd;

niet benodigde functies zijn altijd uitgeschakeld (Hardening);

bekende kwetsbaarheden in de systeemsoftware worden doorlopend

opgelost (patching & patchmanagement).

SoGP: NC1.3

U.13 Netwerkconnecties

Netwerkconnecties zijn niet expliciet genormeerd in de ISO27002. De ISO27033 benoemt in een

principe, dat alle gebruikte segmenten, routeringen, verbindingen en aansluitpunten van een

bedrijfsnetwerk bekend behoren te zijn en te worden bewaakt.

U.13 Netwerkconnecties ISO27033-2

Control Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van

een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.


verbindingen 1. Voor de beheersing van netwerken worden de volgende minimumeisen

toegepast:

identificatie van alle soorten van netwerkverbindingen die worden

gebruikt;

actuele lijst van toegestane en gebruikte protocollen;

actuele lijst van gebruikte netwerktoepassingen;

continu onderzoek naar beveiligingsrisico’s voor netwerken;

actuele netwerktopologie en daarvoor geldende beveiligingseisen.

ISO27033-2:

8.4

SoGP: NC1.4

bewaakt 2. Netwerken worden bewaakt op het beoogd gebruik en overtreding van

securitybeleid wordt gelogd.

ISO27033-2:

8.5

1-2-2019


U.14 Netwerkauthenticatie

Netwerkauthenticatie is niet expliciet genormeerd in de ISO27002. Inherent aan het protocol IEE

801.x dient, om onbevoegd aansluiten van netwerk-devices te voorkomen, authenticatie van netwerk-

nodes te worden toegepast. Sniffing, ofwel afluisteren, is een van de vormen van onbevoegde

toegang.

U.14 Netwerkauthenticatie NORA

Control Authenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd

aansluiten van netwerk-devices (Sniffing) te voorkomen.

IEEE 801.x


authenticatie

van

netwerk-

nodes

1. Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteit

van een aangesloten netwerk-device gecontroleerd (EAP-TLS).

SoGP: NC1.3

2. Alleen de specifiek voor het netwerk toegestane netwerk-devices worden

logisch gekoppeld met de in het netwerk aanwezige clients en

informatiesystemen (IEE 802.1x).

SoGP: NC1.3

U. 15 Netwerk-beheeractiviteiten

Netwerkbeheer is een randvoorwaarde voor informatiebeveiliging. Beheeractiviteiten behoren

nauwgezet te worden gecoördineerd, zowel voor een optimale dienstverlening als om te waarborgen

dat de beheersmaatregelen consistent worden toegepast binnen de gehele informatie verwerkende

infrastructuur.

U.15 Netwerk-beheeractiviteiten ISO27002:

13.1.1

Control Netwerken behoren te worden beheerd en beheerst om informatie in systemen

en toepassingen te beschermen.


beheerd 1. Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en

gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen

van netwerkverbindingen. In het bijzonder geldt daarbij:

administratie:

o het continue actualiseren van de netwerktopologie;

o het beheersen en ‘huishouden’ van netwerk-resources en de wijze

waarop die beschikbaar zijn gesteld.

beschikbaarheidsbeheer;

o het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en

dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg

mogelijk worden ontdekt en te verholpen.

incident management:

o het zorgdragen dat op alle incidenten en bevindingen actie wordt

ondernomen, met rapportage.

technische kwetsbaarheden management:

o het verzamelen en uitvoeren van securityupgrades, zoals het

aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-

Operating Software (OS) en het nemen van preventieve maatregelen

voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot

netwerkbekabeling;

o het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals

bescherming tegen ongeautoriseerde (fysieke) toegang van

netwerksegmenten.

ISO27033-2:

8.4

beheerst 2. Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in

netwerken, zoals patching van netwerkbekabeling in netwerk-verdeelkasten.

1-2-2019


U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events)

Op communicatievoorzieningen vinden geautomatiseerde en handmatige activiteiten en zowel

gewenste als ongewenste gebeurtenissen plaats. Informatiebeveiliging impliceert dat deze events

worden gemonitord, de ernst daarvan wordt beoordeeld en dat de risico’s worden vastgelegd. Met

behulp van deze registratie kunnen situaties worden hersteld en kan van voorvallen worden geleerd

opdat schade in de toekomst mogelijk wordt voorkomen. Voor dit proces kan gebruik gemaakt worden

van een Security Information & Event Management systeem (SIEM) of van een functioneel

gelijkwaardig systeem. Voor het beoordelen van de gebeurtenissen is specifieke deskundigheid

vereist.

U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events) ISO27002:

12.4

Control Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd,

bewaard en beoordeeld te worden (op de ernst van de risico’s).


geregis-

treerd,

bewaard

1. Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline)

worden geregistreerd en vastgelegd in audit-logs.

ISO27033-2:

8.4 en 8.5

beoordeeld 2. Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met

SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.

U.17 Netwerk beveiligingsarchitectuur

Beveiligingsarchitectuur is niet expliciet genormeerd in de ISO27002. In de ISO27033 deel 2 wordt

over netwerk beveiligingsarchitectuur beschreven dat deze - gebaseerd op het vigerende

bedrijfsbeleid, leidende principes en geldende normen en standaarden - de samenhang van het

netwerk beschrijft en structuur biedt voor de beveiligingsmaatregelen. Daarbij behoort het redundant

uitvoeren van componenten of architecturen in overweging te worden genomen.

U.17 Netwerk beveiligingsarchitectuur ISO27033-2

Control Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven

en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het

vigerende bedrijfsbeleid, leidende principes en de geldende normen en

standaarden.


samenhang 1. De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de

architectuur van het te beveiligen systeem.

CIP

Domeingroep

BIO

2. De beveiligingsarchitectuur is gelaagd, zoals:

NORA Beveiliging Metamodel;

SABSA®.

Noraonline.nl,

OpenGroup.o

rg

3. De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden. CIP

Domeingroep

BIO

1-2-2019


2 Control domein

2.7. Doelstelling

Doel van het control domein (beheersing) is te zorgen en/of vast te stellen dat:

netwerkdiensten veilig zijn ingericht voor het leveren van de beoogde prestaties;

het beoogde beveiligingsniveau van technische netwerkdiensten en netcomponenten kan worden

gegarandeerd.

Dit betekent dat de organisatie over adequate beheersingsorganisaties beschikt en waarin beheerprocessen zijn

vormgegeven.

2.8. Risico’

Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de

netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze

omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden

nageleefd.

2.9. Control objecten

Onderstaande afbeelding is het resultaat van SIVA analyse op relevante objecten voor Netwerk-Control. De tabel

geeft in een 1-liner aan wat per control specifiek is voor de bescherming van Communicatievoorzieningen.

Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door

bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten

dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de

beheersingsorganisatie beschrijft de samenhang van de ingerichte processen.


C.01 Naleving richtlijnen netwerkbeheer en evaluaties BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 I

C.02 Netwerkbeveiliging compliancy checking BIO:8.2.2.4, ISO27033-1

ISO27033-2: 7.2.6, 8.7

F

C.03 Evalueren van robuustheid netwerkbeveiliging BIO:18.1.2, 18.2.1,

ISO27033-1: 8.2.5, SoGP: NW1.3

F

C.04 Evalueren van netwerkgebeurtenissen

(monitoring)

BIO:8.2.4, ISO27033-1 G

C.05 Beheersorganisatie netwerkbeveiliging ISO27003: ISMS, SoGP: NW1.4 S

C.01 Naleving richtlijnen netwerkbeheer en evaluaties

Organisaties wisselen steeds meer elektronisch informatie uit, zowel met andere organisaties als met

thuiswerkende medewerkers. Gelet op risico’s van virussen en andere malware, maar ook van het

weglekken van informatie, moeten communicatievoorzieningen continu worden onderhouden, bewaakt

en geëvalueerd. Ook moet speciale aandacht besteed worden aan de uitgewisselde informatie.

Afbeelding 6: Overzicht van Beheersingsobjecten

1-2-2019


C.01 Naleving richtlijnen netwerkbeheer en evaluaties ISO27033-1

Control Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren

periodiek getoetst en geëvalueerd te worden.


naleving 1. De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en

geëvalueerd op basis van een audit van tenminste de volgende elementen:

netwerk topologie / ontwerp, op basis van principes als “defence in

depth”en “inbraak betekent geen doorbraak”;

identificatie en authenticatie mechanismen;

autorisatiemechanismen en actuele administratie van uitgegeven

rechten;

actuele beleidsregels voor netwerkbeveiliging;

aanwijzingen voor hardening van netwerkcomponenten;

verifieerbare audit-log oplossing.

ISO27003: 8

ISO27033-2:

8

C.02 Netwerkbeveiliging compliance checking

In de praktijk is het noodzakelijk gebleken, om regelmatig te toetsen of de beoogde beveiliging van de

netwerkvoorzieningen nog conform het actuele beveiligingsbeleid functioneert. Het accent ligt hier op

naleving van beleid. Periodiek dienen zowel de organisatorische als technische aspecten van de

maatregelen - zoals: de taken en verantwoordelijkheden, de beschikbaarheid van voldoende

technische middelen, etc. - beoordeeld te worden en als resultaat dient hierover een rapportage van

bevindingen aan het management te worden uitgebracht.

C.02 Netwerkbeveiliging compliancy checking ISO27002:18

.2

Control De naleving van een, conform het beveiligingsbeleid, veilige inrichting van

netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten

behoren gerapporteerd te worden aan het verantwoordelijke management

(Compliancy checks).


periodiek 1. Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van

beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan

bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of

penetratietesten.

ISO27002:

18.2.3.1

inrichting 2. De checklist voor veilige inrichting van netwerk(diensten) is samengesteld

vanuit:

actueel beveiligingsbeleid;

gerelateerde Security Operation documentatie;

specifieke beveiligingsarchitectuur voor netwerk en

communicatie(diensten);

beleid voor toegang tot Security gateway services;

bedrijfscontinuïteitsplannen;

relevante beveiligingscondities voor netwerkverbindingen.

ISO27002:

18.2

verantwoor-

delijke

3. Resultaten worden gerapporteerd aan het verantwoordelijke management ISO27002:

18.2

1-2-2019


C.03 Evalueren van robuustheid netwerkbeveiliging

Binnen de infrastructuur bevinden zich diverse netwerkvoorzieningen en welke het fundament vormen

voor de gegevensuitwisseling. Het is noodzakelijk om regelmatig te toetsen of de robuustheid van de

beveiliging van de netwerkvoorzieningen voldoet aan de gestelde eisen. Het accent ligt hier op de

vraag of sterkte van de beveiliging voldoet aan de actuele eisen. Periodiek dienen zowel de

organisatorische als de technische aspecten van beveiligingsmaatregelen beoordeeld te worden en

welke vervolgens worden gerapporteerd aan het verantwoordelijke management.

C.03 Evalueren va robuustheid netwerkbeveiliging ISO27033-1

Control De robuustheid van de beveiligingsmaatregelen en de naleving van het

netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.


robuustheid 1. De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat

tenminste de volgende onderzoeks-elementen:

robuustheid van het ontwerp, op basis van principes als “defence in

depth” en “inbraak betekent geen doorbraak”;

sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;

juiste implementatie van beleidsregels voor netwerkbeveiliging;

verificatie van de hardening van netwerkcomponenten;

verificatie van de audit-log oplossing;

bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;

informatie over gebeurtenissen en incidenten, gerapporteerd door service

personeel en eindgebruikers.

ISO27002:

18.2

C.04 Evalueren van netwerkgebeurtenissen (monitoring)

Het beveiligen van de beveiligingsfuncties is cruciaal voor zekerheid over het bereiken van het

beoogde beveiligingsniveau en daarvoor moet het beheer van de beveiligingsfuncties worden

vastgelegd in auditlogs en worden beoordeeld. De audit-logs dienen zodanig te worden ingericht dat

netwerkbeheerders geen toegang kunnen hebben tot de vastgelegde beheerhandelingen.

C.04 Evalueren van netwerkgebeurtenissen (monitoring) ISO27033-1:

8.5

Control Toereikende logging en monitoring behoort te zijn ingericht, om detectie,

vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk

van invloed op, of relevant kunnen zijn voor, de informatiebeveiliging

NIST: H6


onderzoek

van gebeur-

tenissen

1. Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:

via audit-logging en continue monitoring en gekoppeld aan detectie

registreren van gebeurtenissen;

onderzoek uit te voeren én vervolgens

snel te reageren.

ISO27002:

18.2

2. Continue bewaking via monitoring legt de volgende informatie vast:

audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;

analyse-informatie vanuit Intrusion Detection Systemen (IDS);

resultaten vanuit netwerkscanning activiteiten.

ISO27002:

18.2

1-2-2019


C.05 Beheerorganisatie netwerkbeveiliging

Het adequaat beheersen en beheren van de communicatievoorzieningen vereist een

organisatiestructuur waarin de procesverantwoordelijkheden en toereikende bevoegdheden van de

functionarissen zijn vastgelegd en op het juiste niveau zijn gepositioneerd.

C.05 Beheerorganisatie netwerkbeveiliging ISO27002:

6.1.1

Control Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden

gedefinieerd en toegewezen.


verantwoor-

delijkheden

1. De communicatievoorzieningen worden geïdentificeerd en gedefinieerd

2. Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met

risico’s voor de doelorganisatie. Het beleggen van de juiste

verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra

aandacht:

de entiteit, die verantwoordelijk is voor de communicatievoorzieningen

worden bepaald en de taken en details, vanuit de verantwoordelijkheid

zijn actueel, vastgelegd en bekend;

de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn

gedefinieerd en gedocumenteerd;

de netwerkbeheerders zijn en blijven goed opgeleid en competent voor

de uitvoering van hun taken;

de coördinatie en overzicht van informatiebeveiligingsaspecten van

dienstverleners is geïdentificeerd gedocumenteerd en wordt continu

gemonitord.

ISO27002:

6.1.1

Bijlage 1 Definitie van objecten

Objectnaam Betekenis van de objecten in relatie tot het thema

B.01 Beleid en procedures

informatietransport

De waarborging van de bescherming van informatie in netwerken, door

inzet van beheerprocedures voor informatietransport en het hanteren

van procedures voor bewaking van netwerken.

B.02 Overeenkomsten

informatietransport

Contracten en afspraken, waarin het dienstverleningsniveau,

beveiligingsmechanismen en beheersingseisen voor netwerkdiensten zijn

vastgelegd, zowel voor intern geleverde diensten als voor uitbestede

diensten.

B.03 Cryptografiebeleid Beleid en afspraken, specifiek gericht op de toepassing van cryptografie

binnen netwerken en communicatieservices.

B.04 Organisatiestructuur

netwerkbeheer

Opzet van de administratieve organisatie van netwerk en

communicatiebeheer.

U.01 Richtlijnen netwerkbeveiliging Algemene, operationele beveiligingsrichtlijnen voor ontwerp,

implementatie en beheer van communicatievoorzieningen.

U.02 Beveiligde inlogprocedures Is gerelateerd aan twee aspecten: Aanmelden en Procedure.

Aanmelden (inloggen) behelst het leggen van een verbinding- via

authenticatie middelen.

De procedure is de samenhangende beschrijving van welke

activiteiten moeten plaatsvinden.

U.03 Netwerk beveiligingsbeheer Het beheer van beveiligingsprocedures en -mechanismen.

U.04 Vertrouwelijkheid-


De eisen die aan dienstverleners en partners gesteld worden in de

operatie voor het waarborgen van de vertrouwelijkheid van gegevens en

de uitvoering van bedrijfsprocessen.

U.05 Beveiliging netwerkdiensten De eisen die aan dienstverleners gesteld worden t.a.v. te nemen

1-2-2019


maatregelen voor beveiligingsmechanismen, het dienstverleningsniveau

en de kwaliteit van de beheerprocessen.

U.06 Zonering en filtering Gaat over twee aspecten: Scheiding en Gecontroleerde doorgang.

Scheiding is het positioneren van netwerken in afzonderlijke

fysieke ruimten of het segmenteren van netwerken in afzonderlijk

te beveiligen (logische) domeinen.

Gecontroleerde doorgang is het reguleren van de toegang van

personen tot netwerkvoorzieningen en/of het en filteren van

informatiestromen op basis van beleidsregels met filters en

algoritmen.

U.07 Elektronische berichten Beveiliging van elektronisch berichtenverkeer, zoals b.v. e-mail, web-

verkeer, chat-sessies en ‘streaming’ audio en video. Beveiliging omvat

maatregelen voor bescherming van het berichtenverkeer, zoals

geautoriseerde toegang, correcte adressering en integer datatransport,

beschikbaarheid en (wettelijke) bepalingen voor elektronische

handtekening en onweerlegbaarheid.

U.08 Toepassingen via openbare

netwerken

Gebruik van openbare netwerken voor uitwisseling van informatie van

uitvoeringsdiensten vereist bescherming tegen inbraak, waarmee

frauduleuze praktijken, geschillen over contracten en onbevoegde

openbaarmaking of onbevoegde wijziging kunnen worden voorkomen.

U.09 Gateway / Firewall Beveiligingsmechanisme voor zonering en gecontroleerde toegang.

U.10 Virtual Private Networks

(VPN)

Beveiligingsmechanisme voor het inrichten van een vertrouwd

toegangspad tussen 2 of meerdere netwerk-nodes.

U.11 Cryptografische services Versleuteling van netwerkverkeer, met behulp van hardware of software

voorzieningen, die kunnen voorkomen op alle zeven lagen van het OSI-

model. Cryptografische services voor communicatie met partners en

burgers maken gebruik van Public Key Infrastuctuur middelen, zoals de

aan certificaten gebonden private en publieke sleutels.

U.12 Wireless Access Toegang tot draadloze netwerken bedoeld voor mobiele communicatie.

U.13 Netwerk connecties Verbindingen netwerk-eindpunten (nodes) worden beheerd en zijn

vastgelegd in een netwerktopologie.

U.14 Netwerk authenticatie Voorziening, die controleert of een netwerkdevice geautoriseerd is om

op het netwerk te kunnen worden aangesloten.

U.15 Netwerkbeheeractiviteit Activiteiten die uitsluitend door netwerkbeheerders kunnen worden

uitgevoerd op communicatievoorzieningen.

U.16 Vastleggen netwerkevents Het uniek en onveranderlijk vastleggen van (beveiligings)

gebeurtenissen in een netwerk (in een audit-logfile).

U.17 Netwerksecurityarchitectuur Beschrijving en beelden van de structuur en onderlinge samenhang van

de verschillende beveiligingsfuncties in een netwerk.

C.01 Naleving richtlijnen

netwerkbeheer en evaluatie.

Evaluatie op de naleving van netwerkbeveiligingsbeleid.

C.02 Netwerksecurity Compliance

checking

Periodieke toetsing en managementrapportage over naleving van het

beveiligingsbeleid voor netwerkdiensten.

C.03 Evalueren robuustheid

netwerkbeveiliging

Toetsing van de robuustheid (resilience) van beveiligingsfuncties in

communicatievoorzieningen.

C.04 Evalueren gebeurtenissen

(monitoring)

Het beoordelen van de (doorlopend) verzamelde security gerelateerde

gebeurtenissen in netwerken.

C.05 Beheersorganisatie

netwerkbeveiliging

De opzet van een toereikende organisatiestructuur voor het beheren

van- en rapporteren over netwerken en communicatievoorzieningen.

Tabel 1 Omschrijving van de geïdentificeerde ISO-27002 objecten

BIO Thema Communicatievoorzieningen · tevens op Best Practices als: SoGP, NIST, BSI en COBIT. 1.1....

Documents

Transcript of BIO Thema Communicatievoorzieningen · tevens op Best Practices als: SoGP, NIST, BSI en COBIT. 1.1....