1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 2 van 28
Inhoud
1. INLEIDING 5 1.1. OPZET VAN HET THEMA 5 1.2. CONTEXT VAN COMMUNICATIEBEVEILIGING 5 1.3. SCOPE EN BEGRENZING 6 1.4. GLOBALE RELATIES TUSSEN DE GEÏDENTIFICEERD BEVEILIGINGSOBJECTEN 8 1.5. PRESENTATIE VAN DE OBJECTEN IN DE BUC/IFGS MATRIX 9
2. BELEIDSDOMEIN 10 2.1. DOELSTELLING 10 2.2. RISICO’S 10 2.3. OVERZICHT BELEIDSOBJECTEN EN NORMEN 10
B.01 Beleid en procedures informatietransport 10 B.02 Overeenkomsten over informatietransport 11 B.03 Cryptografiebeleid voor communicatie 12 B.04 Organisatiestructuur van netwerkbeheer 12
4. UITVOERINGSDOMEIN 13 2.4. DOEL 13 2.5. RISICO’S 13 2.6. OBJECTEN VOOR HET UITVOERINGSDOMEIN 13
U.01 Richtlijnen voor netwerkbeveiliging 14 U.02 Beveiligde inlogprocedure 15 U.03 Netwerk beveiligingsbeheer 15 U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst 16 U.05 Beveiliging van netwerkdiensten 16 U.06 Zonering en filtering 17 U.07 Elektronische berichten 18 U.08 Toepassingen via openbare netwerken 19 U.09 Gateways en firewalls 19 U.10 Virtual Private Networks (VPN) 20 U.11 Cryptografische services 20 U.12 Wireless Access 21 U.13 Netwerkconnecties 21 U.14 Netwerkauthenticatie 22 U. 15 Netwerk-beheeractiviteiten 22 U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events) 23 U.17 Netwerk beveiligingsarchitectuur 23
2 CONTROL DOMEIN 24 2.7. DOELSTELLING 24 2.8. RISICO’ 24 2.9. CONTROL OBJECTEN 24
C.01 Naleving richtlijnen netwerkbeheer en evaluaties 24 C.02 Netwerkbeveiliging compliance checking 25 C.03 Evalueren van robuustheid netwerkbeveiliging 26 C.04 Evalueren van netwerkgebeurtenissen (monitoring) 26 C.05 Beheerorganisatie netwerkbeveiliging 27
BIJLAGE 1 DEFINITIE VAN OBJECTEN 27
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 3 van 28
Colofon
Onderwerp : BIO Thema Communicatievoorzieningen
Datum : 1-2-2019
Versie : Concept 1.0
Uitgebracht aan : Voorzitter Werkgroep BZK: Henk Wesselink
Directeur: CIP: Ad Reuijl
Documentbeheer BIO Thema: Communicatievoorziening
Naam Organisatie
Jaap van der Veen (JV) Ministerie van Financiën/Belastingdienst
Jan Breeman (JB) UWV/CIP
Joop Hagman (JH) Veiligheidsregio Noord-Holland Noord
Paul Coret (PC) Hoogheemraadschap Delfland
Peter van Dijk (PD) VNG/IBD
Peter Kruger (PK) Justitiële Informatiedienst
René Reith (RR) Provincie Zuid-Holland
Wiekram Tewarie (WT) Doelorganisatie/CIP
Historie en versie
Versie Doel Naam Status
0.1 Initiële opzet Wiekram Tewarie, Startdocument
0.11 Aanvulling op 0.1 Jaap van der Veen Werkdocument
0.21 review werkgroep verwerkt Paul Coret, Joop Hagman,
Eric Post, Peter Kruge, BK
Werkdocument
0.3 kookdag 1 Paul Coret, Joop Hagman,
Eric Post, Peter Kruge, BK
Werkdocument
0.32 Objecten verwerkt, structuur
verbeterd en overzichten in
IFGS/BUC
Paul Coret, Jaap van der Veen,
Joop Hagman, Peter Kruge,
Eric Post, BK
Werkdocument
0.33 Objecten uit ISO27033
toegevoegd
Jaap van der Veen Werkdocument
0.34 Onderscheid generiek object
vervalt
Jaap van der Veen Werkdocument
0.36 Review van geïnventariseerde
Objecten uit BIO en ISO27033
Wiekram Tewarie, Jaap van der
Veen
Werkdocument
0.37 Uitwerking van objecten uit
BIO en ISO27033
Jaap van der Veen Werkdocument
0.38 Reviewopmerkingen verwerkt Jaap van der Veen Werkdocument
0.39 Reviewopmerkingen verwerkt Jaap van der Veen Werkdocument
0.4 Afbeelding 2, + opm. 3e Jaap van der Veen Werkdocument
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 4 van 28
workhop
0.5 Generiek/Specifiek
doorgevoerd
Jaap van der Veen Werkdocument
0.61 Figuren aangepast, teksten
gecomprimeerd
Jaap van der Veen Werkdocument
0.63 Figuren aangepast, review
bijgewerkt
Jaap van der Veen Werkdocument
0.9 Bijgewerkt tot conceptversie Wiekram Tewarie, Jaap van der
Veen,
Jan Breeman
concept
1.0 29-1-2019 Bijgewerkt tot conceptversie Wiekram Tewarie, Jaap van der
Veen,
Jan Breeman
Concept
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 5 van 28
1. Inleiding
Dit document bevat een referentiekader voor het thema Communicatievoorzieningen. Het is geënt op controls uit
de ISO27001-annex A, de BIO (Baseline Informatiebeveiliging Overheid), op de implementatiegids ISO27033 en
tevens op Best Practices als: SoGP, NIST, BSI en COBIT.
1.1. Opzet van het thema
Het thema Communicatievoorzieningen brengt de voor communicatiebeveiliging relevante controls uit de BIO 1.0
overzichtelijk bij elkaar. Vervolgens zijn relevante items die ontbraken, aangevuld uit andere baselines, zoals de
BSI, de NIST en SoGP. NORA patronen zijn gebruikt voor figuren en begeleidende teksten. De implementatiegids
ISO-27033-deel 1 t/m 6 biedt, gerelateerd aan de ISO-27002, overzicht en een technische duiding van “Network
security”.
Dit thema volgt de standaard opzet voor BIO-thema’s:
1. context en globale structuur van het thema;
2. scope en begrenzing;
3. identificatie van beveiligingsobjecten en uitwerking van deze objecten op de BUC lagen, inclusief de
referenties;
4. globale relaties van de geïdentificeerde beveiligingsobjecten (toepassing);
5. presentatie van de objecten in de BUC/IFGS matrix, inclusief de volledigheidsanalyse van objecten.
1.2. Context van Communicatiebeveiliging
De basis voor de uitwerking van het thema Communicatievoorzieningen is ISO-27002 ( als baseline voor de
overheid 1:1 omgezet in de BIO). In hoofdstuk 13 daarvan worden verschillende type communicatievoorzieningen
genoemd, zoals geïllustreerd in Afbeelding 1.
openbare diensten – het gebruik van openbare diensten, zoals: Instant messaging en sociale media
(vehikel);
elektronische berichten – informatie opgenomen in elektronische berichten (inhoud);
informatietransport - het transporteren van informatie via allerlei communicatiefaciliteiten, zoals: email,
telefoon, fax video (inhoud);
netwerkdiensten - het leveren van aansluitingen, zoals: firewalls, gateways, detectiesystemen en
technieken voor te beveiligen netwerkdiensten, zoals authenticatie (vehikel);
- netwerk(infrastructuur) - dit betreft de fysieke en logische verbindingen (vehikel).
Afbeelding 1: Communicatiebeveiliging volgens BIO
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 6 van 28
Iedere organisatie met klantprocessen past deze communicatievoorzieningen toe en heeft één of meer koppelingen
met de buitenwereld ingericht. Deze communicatie verloopt altijd via het onderste element: de
netwerkinfrastructuur. Het gebruik van netwerkvoorzieningen vindt plaats zowel mobiel als via vaste
netwerkvoorzieningen.
In de praktijk bestaan er veel verschillende soorten koppelingen en een verscheidenheid aan
netwerkvoorzieningen. Onderstaande afbeelding schetst de belangrijkste soorten van netwerkkoppelingen:
tussen organisaties onderling;
tussen organisaties en publieke netwerken;
binnen organisaties.
Afbeelding 2 Soorten netwerkkoppelingen
Doel van een netwerk is de uitwisseling van data tussen informatiedomeinen. Een informatiedomein bestaat uit een
op hard- en softwarematige gebaseerde beveiligde verzameling van informatie.
De beveiligingsmaatregelen binnen ISO hebben betrekking op de hiervoor vermelde communicatievoorzieningen.
Een van de meest toegepaste beveiligingsmaatregelen van netwerkinfrastructuur is segmentering en
compartimentering, tezamen ”zonering” genoemd.
Naast zonering zijn er andere beveiligingsobjecten van toepassing, zoals: “Vertrouwd toegangspad” en beveiliging
in “Koppelvlakken”. Hiervoor bieden de NORA patronen een praktische invulling.
In dit thema beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en
logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in segmenten,
waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één segment.
1.3. Scope en Begrenzing
Dit thema omvat de set communicatie-beveiligingsobjecten en maatregelen voor netwerkvoorzieningen, zoals
weergegeven in afbeelding 1. De uitwerking van dit thema beperkt zich tot deze type communicatievoorzieningen1.
Er zijn essentiële objecten uit andere baselines gebruikt, die gerelateerd zijn dit type communicatievoorzieningen.
Bepaalde type communicatiefaciliteiten, zoals: VOIP, intranet en extranet zijn in dit thema niet uitgewerkt. Er
wordt niet diepgaand op:
bepaalde type verbindingen, zoals VPN en Gateway verbindingen;
communicatie voorzieningen, zoals: instant messaging en email.
Onderstaande tabel geeft een overzicht van relevante beveiligingsobjecten voor communicatievoorzieningen,
afkomstig uit de ISO27002 standaard, die de BIO exact volgt qua hoofdstukindeling en control-teksten.
Voor die onderwerpen waarvoor de BIO geen control heeft geformuleerd, is gerefereerd naar andere standaarden,
zoals de ISO-implementatiestandaard voor Netwerkbeveiliging: ISO27033 deel 1-6, waarin tevens de relaties zijn
gelegd met de ISO27002.
1 Hiervoor zijn de ISO implementatiegidsen: ISO27033-2- 27033-6 en NORA patronen in adviserende zin beschikbaar.
De ISO27033 draagt de titel: Information technology- Networksecurity, bedoeld als implementatiegids voor de ISO27002.
De ISO-27033 bestaat uit 6 delen. Deel 1 bevat algemene ‘controls’ voor communicatiebeveiliging, deel 2 beschrijft
ontwerprichtlijnen voor de uitvoering, deel 3 referentiescenario’s, deel 4 gateways, deel 5 VPN en deel 6 Wireless-IP
netwerktoegang.
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 7 van 28
Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
B.01 Beleid en procedures informatietransport BIO:132.2.1, ISO27033-1: 6.2 I
B.02 Overeenkomsten over informatietransport BIO:13.2.2, ISO27033-1
BSI IT-Grundschutz: S.6
F
B.03 Cryptografiebeleid voor
communicatievoorzieningen
BIO: 10.3.1, 18.1.5.1
ISO27033-1: 8.8,
G
B.04 Organisatiestructuur van netwerkbeheer BSI S4.2, ISO27033-1: 8.2
ITIL: Netwerkbeheer
S
U.01 Richtlijnen voor netwerkbeveiliging BIO:8.2.2.3, ISO27033-1
ISO27033-2: 6,7,8
I
U.02 Beveiligde inlogprocedure BIO:9.4.2, ISO27033-1: 8.4 I
U.03 Netwerk beveiligingsbeheer BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 F
U.04 Vertrouwelijkheid- en
geheimhoudingsovereenkomst
BIO:13.2.4, SoGP: NW1.1 F
U.05 Beveiliging van netwerkdiensten BIO:13.1.2, ISO27033-1: 10.6 F
U.06 Zonering en filtering BIO:13.1.3, ISO27033-1: 10.7
ISO27033-2: 7.2.3
NORA Patronen: Zoneringsmodel
F
U.07 Elektronische berichten BIO:13.2.3, ISO27033-1: 10.3, 10.8 F
U.08 Toepassingen via openbare netwerken BIO: 14.2.1 F
U.09 Gateways en firewalls ISO27033-4, SoGP: NC1.5
NORA Patronen: Koppelvlak
G
U.10 Virtual Private Networks (VPN) ISO27033-5
NORA Patronen: Vertrouwd toegang-
pad
G
U.11 Cryptografische services BIO:10, ISO27033-1: 8.2.2.5
SoGP: NC1.1
NORA Patronen: Encryptie
G
U.12 Wireless Access ISO27033-6
NORA Patronen: Draadloos netwerk
G
U.13 Netwerkconnecties BIO:8.2.2.5, ISO27033-1
NORA Patronen: Koppelvlak
G
U.14 Netwerkauthenticatie NORA Patronen: Beschouwingsmodel
Netwerk
G
U.15 Netwerk beheeractiviteiten ISO27033-1: 8.4, ISO27033-2: 8.4 G
U.16 Vastleggen en monitoren van
netwerkgebeurtenissen (events)
ISO27033-1: 8.5
ISO27033-2: 8.5
G
U.17 Netwerk beveiligingsarchitectuur BIO:9.2, ISO27033-1
ISO27033-2: 8.6
SoGP: Network design
NORA Patronen: Diverse patronen
S
C.01 Naleving richtlijnen netwerkbeheer en evaluaties BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 I
C.02 Netwerkbeveiliging compliancy checking BIO:8.2.2.4, ISO27033-1
ISO27033-2: 7.2.6, 8.7
F
C.03 Evalueren van robuustheid netwerkbeveiliging BIO:18.1.2, 18.2.1,
ISO27033-1: 8.2.5, SoGP: NW1.3
F
C.04 Evalueren van netwerkgebeurtenissen BIO:8.2.4, ISO27033-1 G
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 8 van 28
(monitoring)
C.05 Beheersorganisatie netwerkbeveiliging ISO27003: ISMS, SoGP: NW1.4 S
1.4. Globale relaties tussen de geïdentificeerd beveiligingsobjecten
Onderstaande afbeelding geeft een voorbeeld van de toepassing van enkele beveiligingsobjecten in een IV-
landschap waarin een organisatie met een gebruiker communiceert. Daarbij is sprake van Netwerk Connecties (NC)
die de verschillende netwerken en informatievoorzieningen met elkaar verbinden.
Veilige koppelingen tussen organisaties en gebruikers kunnen worden opgezet met VPN’s.
Gateways en firewalls zorgen met zonering en filtering voor de beoogde scheiding van binnen- en buitenwereld en
een gecontroleerde doorgang van vertrouwde informatie.
Cryptografische services verzorgen zonering voor gegevenstransport via private en publieke netwerken, zodat
informatie veilig kan worden uitgewisseld en bedrijfstoepassingen kunnen worden gebruikt.
In de beschermde kantooromgeving van grote organisaties worden mobiele werkplekken met het bedrijfsnetwerk
verbonden via Wireless Access en beveiligd met o.a. netwerkauthenticatie.
Een netwerkbeheerorganisatie draagt op basis van richtlijnen zorg voor de instandhouding van netwerkbeveiliging
en het ‘up-to-date’ houden van beveiligingsmaatregelen.
Via vastleggen van events, evaluatie netwerkmonitoring en evalueren van netwerkbeveiliging wordt de actuele
werking van de maatregelen getoetst en waar nodig versterkt.
Meer over de technologie van de beveiligingsobjecten is te vinden op de NORA Wiki; thema Beveiliging,
(www.noraonline.nl) bij de “Patronen voor informatiebeveiliging”.
Afbeelding 3: Toepassing van beveiligingsobjecten
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 9 van 28
1.5. Presentatie van de objecten in de BUC/IFGS matrix
Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven, in zowel de lagen B-U-C, als
in de IFGS-kolommen. De grijs ingekleurde zijn ‘generiek’. Voor de wit- ingekleurde objecten heeft de BIO geen
control gedefinieerd, deze objecten zijn voor het grootste deel afkomstig uit de ISO27033 implementatiegidsen
deel 1 t/m 6.
Afbeelding 4 Overzicht beveiligingsobjecten
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 10 van 28
2. Beleidsdomein
2.1. Doelstelling
Dit domein beschrijft BIO-normatieve eisen voor beleid, die rand voorwaardelijk en bedoeld zijn voor de realisatie
en operatie van communicatievoorzieningen.
2.2. Risico’s
Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige
inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële
schade aan de bedrijfsvoering.
2.3. Overzicht beleidsobjecten en normen
Onderstaande afbeelding is het resultaat van SIVA analyse op relevante objecten voor IV-beleid. Grijs gekleurd zijn
de generieke objecten, hieronder toegespitst op communicatiebeveiliging. De wit ingekleurde objecten ontbreken
als control in de ISO-2700x, maar zijn ook cruciaal voor dit thema.
Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
B.01 Beleid en procedures informatietransport BIO:132.2.1, ISO27033-1: 6.2 I
B.02 Overeenkomsten over informatietransport BIO:13.2.2, ISO27033-1
BSI IT-Grundschutz: S.6
F
B.03 Cryptografiebeleid voor communiicatie BIO: 10.3.1, 18.1.5.1
ISO27033-1: 8.8,
G
B.04 Organisatiestructuur van netwerkbeheer BSI S4.2, ISO27033-1: 8.2
ITIL: Netwerkbeheer
S
B.01 Beleid en procedures informatietransport
De ISO 27002 (pg.74) formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een
beveiligde dienstverlening, architectuur, software en een beveiligd systeem. Dit object richt zich op
‘inrichtings- en onderhoudsaspecten’ van communicatievoorzieningen. In het te formuleren beleid
worden o.a. standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van
communicatievoorzieningen.
B.01 Beleid en procedures informatietransport ISO27002:
13.2.1
Control Ter bescherming van het informatietransport, dat via allerlei soorten
communicatiefaciliteiten verloopt behoren formele beleidsregels, procedures en
beheersmaatregelen voor transport van kracht te zijn.
Conformiteitsindicatoren en Maatregelen
beleidsregels 1. Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van
communicatiefaciliteiten.
ISO27002:
13.2.1 d
Afbeelding 5: Afbeelding 5 Overzicht van beleidsobjecten
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 11 van 28
2. Beleid of richtlijnen omschrijven het toepassen van cryptografie voor
bescherming van de vertrouwelijkheid, integriteit en authenticiteit van
informatie.
ISO27002:
13.2.1 f
3. Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze
netwerken verstuurd mag worden.
CIP
Domeingroep
BIO
procedures 4. Procedures beschrijven het beveiligen van informatie tegen onderscheppen,
kopiëren, wijziging, foutieve routering en vernietiging.
ISO27002:
13.2.1 a
5. Procedures beschrijven het opsporen van en beschermen tegen malware die
kan worden overgebracht middels elektronische communicatie (zie 12.2.1).
ISO27002:
13.2.1 b
6. Procedures beschrijven het beschermen van als bijlage gecommuniceerde
gevoelige informatie.
ISO27002:
13.2.1 c
beheers-
maatregelen
7. E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig
en geautomatiseerd doorgestuurd.
ISO27002:
13.2.1 j
B.02 Overeenkomsten over informatietransport
Bij het gebruik van communicatievoorzieningen behoren beveiligingsprincipes in acht te worden
genomen. In de ISO27002 wordt één principe expliciet genoemd: “Overeenkomsten behoren
betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en
externe partijen.” Andere baselines (zoals SoGP) beschrijven nog verschillende andere relevante
inrichtingsprincipes.
B.02 Overeenkomsten over informatietransport ISO27002:
13.2.2
Control Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren
van bedrijfsinformatie tussen de organisatie en externe partijen.
Conformiteitsindicatoren en Maatregelen
overeen-
komsten
1. Overeenkomsten over informatietransport bevatten o.a. de volgende
elementen:
a. directieverantwoordelijkheden voor het beheersen en notificeren van
overdracht, verzending en ontvangst;
b. procedures voor het waarborgen van de traceerbaarheid en
onweerlegbaarheid;
c. speciale en vereiste beheersmaatregelen voor het beschermen van
gevoelige informatie, zoals cryptografie;
d. het handhaven van een bewakingsketen voor informatie tijdens
verzending;
e. acceptabele niveaus van toegangsbeveiliging.
ISO27002:
13.2.2
2. In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 12 van 28
B.03 Cryptografiebeleid voor communicatie
In ISO27002 worden ten aanzien van communicatievoorzieningen de volgende principes expliciet
genoemd:
het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar
stellen van passende communicatievoorzieningen;
tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter
bescherming van informatie en voor de bescherming, het gebruik en de levensduur van
cryptografische beheersmaatregelen (zoals crypto-sleutels).
B.03 Cryptografiebeleid voor communicatie ISO27002:
10.1
Control Ter bescherming van informatie behoort voor het gebruik van cryptografische
beheersmaatregelen een cryptografiebeleid te worden ontwikkeld en
geïmplementeerd.
Conformiteitsindicatoren en Maatregelen
cryptografie-
beleid
1. In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
a. wanneer cryptografie ingezet wordt;
b. wie verantwoordelijk is voor de implementatie van cryptografie;
c. wie verantwoordelijk is voor het sleutelbeheer;
d. welke normen als basis dienen voor cryptografie en de wijze waarop de
normen van het Forum Standaardisatie worden toegepast;
e. de wijze waarop het beschermingsniveau wordt vastgesteld;
f. het onderling vaststellen van het beleid bij inter-organisatie
communicatie.
ISO27002:
10.1.1.1
2. Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
a. welk type gegevens moet voor welke communicatievorm worden
versleuteld;
b. welk type gegevens elektronisch worden ondertekend;
c. aan welke standaarden de cryptografische toepassingen dienen te
voldoen;
d. in hoeverre backwards-compatibility voor algoritmen en protocollen t.b.v.
netwerken mag worden toegepast.
CIP
Domeingroep
BIO
B.04 Organisatiestructuur van netwerkbeheer
In de ISO27002 worden geen organisatorische principes genoemd voor communicatievoorzieningen.
De Duitse BSI benoemt daarvoor meerdere principes, die aangeven dat in beleid is vastgesteld, dat
voor het beheer van netwerken een centrale organisatiestructuur benodigd is.
B.04 Organisatiestructuur van netwerkbeheer BSI S 4.2
Control In beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur
gebruikt wordt voor het beheren van netwerken (o.a. LAN, VLAN) en zo veel
mogelijk van de hardware en software componenten daarvan.
Conformiteitsindicatoren en Maatregelen
organisatie-
structuur
1. In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende
beheersingsprocessen benoemd: configuratie-, performance-, fault-, en
beveiligingsbeheer (securitymanagement).
ISO7498-4,
X.700 ITU
2. De beheer(sing)processen hebben in overeenstemming met het
informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.
CIP
Domeingroep
BIO
3. De taken en verantwoordelijkheden van de verantwoordelijke functionarissen
voor deze processen zijn duidelijk gedefinieerd.
CIP
Domeingroep
BIO
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 13 van 28
4. Uitvoeringsdomein
2.4. Doel
Het doel van het uitvoeringsdomein is te waarborgen dat de netwerkinfrastructuur is ingericht overeenkomstig
specifieke beleidsuitgangspunten en dat aan de eisen ten aanzien van beschikbaarheid, integriteit,
vertrouwelijkheid en controleerbaarheid bij het ontwerp en implementatie is voldaan.
2.5. Risico’s
De belangrijkste risico’s van netwerk(diensten) zijn: negatieve beïnvloeding van de beveiligingsniveaus door
koppeling van netwerken, illegaal gebruik, onderbrekingen, afluistering van getransporteerde data,
kwetsbaarheden in uitvoerbare code en fysieke of logische inbreuk op netwerkelementen.
2.6. Objecten voor het uitvoeringsdomein
Per object zijn hierna de maatregelen uitgewerkt die risico’s kunnen reduceren. Voor de implementatie wordt
verwezen naar de zes uitvoeringskaders van de ISO27033 en NORA - Beveiliging.
Hieronder zijn de essentiële objecten voor communicatievoorzieningen weergegeven in zowel de lagen B-U-C, als in
de IFGS-kolommen. De grijs omrande objecten zijn ‘generiek’. Voor de wit ingekleurde objecten heeft de BIO/ISO-
27002 geen control gedefinieerd. Deze objecten zijn voor het grootste deel afkomstig uit de ISO27033
implementatiegidsen deel 1 t/m 6.
Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
U.01 Richtlijnen voor netwerkbeveiliging BIO:8.2.2.3, ISO27033-1
ISO27033-2: 6,7,8
I
U.02 Beveiligde inlogprocedure BIO:9.4.2, ISO27033-1: 8.4 I
U.03 Netwerk beveiligingsbeheer BIO:13.1.1, ISO27033-1: 8.2, 8.2.2 F
U.04 Vertrouwelijkheid- en
geheimhoudingsovereenkomst
BIO:13.2.4, SoGP: NW1.1 F
U.05 Beveiliging van netwerkdiensten BIO:13.1.2, ISO27033-1: 10.6 F
U.06 Zonering en filtering BIO:13.1.3, ISO27033-1: 10.7
ISO27033-2: 7.2.3
NORA Patronen: Zoneringsmodel
F
U.07 Elektronische berichten BIO:13.2.3, ISO27033-1: 10.3, 10.8 F
U.08 Toepassingen via openbare netwerken BIO: 14.2.1 F
U.09 Gateways en firewalls ISO27033-4, SoGP: NC1.5
NORA Patronen: Koppelvlak
G
U.10 Virtual Private Networks (VPN) ISO27033-5
NORA Patronen: Vertrouwd toegang-
pad
G
U.11 Cryptografische services BIO:10, ISO27033-1: 8.2.2.5
SoGP: NC1.1
NORA Patronen: Encryptie
G
U.12 Wireless Access ISO27033-6
NORA Patronen: Draadloos netwerk
G
U.13 Netwerkconnecties BIO:8.2.2.5, ISO27033-1
NORA Patronen: Koppelvlak
G
U.14 Netwerkauthenticatie NORA Patronen: Beschouwingsmodel
Netwerk
G
U.15 Netwerk beheeractiviteiten ISO27033-1: 8.4, ISO27033-2: 8.4 G
U.16 Vastleggen en monitoren van
netwerkgebeurtenissen (events)
ISO27033-1: 8.5
ISO27033-2: 8.5
G
U.17 Netwerk beveiligingsarchitectuur BIO:9.2, ISO27033-1 S
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 14 van 28
ISO27033-2: 8.6
SoGP: Network design
NORA Patronen: Diverse patronen
Afbeelding 6 Overzicht van Uitvoeringsobjecten
U.01 Richtlijnen voor netwerkbeveiliging
De ISO27002 beschrijft geen operationele principes voor communicatievoorzieningen, maar verwijst
hiervoor naar de NEN/ISO270033 (deel 1 t/m 6). Enkele principes zijn in de ISO27002 expliciet
genoemd, o.a. dat de bescherming van informatie in netwerken en de ondersteunende informatie
verwerkende faciliteiten (voortdurend) dient te worden gewaarborgd.
U.01 Richtlijnen voor netwerkbeveiliging ISO27033-2
Control Organisaties behoren hun netwerken te beveiligen op basis van richtlijnen voor
ontwerp, implementatie en beheer2.
Conformiteitsindicatoren en Maatregelen
ontwerp 1. De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende
stappen:
1. identificatie van de middelen (assets);
2. inventarisatie van de functionele eisen;
3. beoordeling van de functionele eisen in de context van het beoogd
gebruik;
4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
5. evaluatie van bestaande ontwerpen en implementaties.
ISO 27033-2:
6
2. Leidende ontwerpprincipes, zoals “defence in depth”, worden gehanteerd of
anders geformuleerd: “inbraak betekent geen doorbraak”.
Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van
netwerken, zoals door het toepassen van redundancy, backup van
configuratiegegevens en snel beschikbare reservedelen.
ISO27033-2:
7.2.2
2 Voorbeeld: ISO27033 deel 2
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 15 van 28
3. Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).
4. Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.
implemen-
tatie
5. De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp
zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033,
hoofdstuk 8.
ISO27033-2:
8
beheer 6. Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden.
U.02 Beveiligde inlogprocedure
De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij
dient de geclaimde identiteit op passende wijze en met geschikte techniek te worden vastgesteld. De
procedure om in te loggen wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is.
U.02 Beveiligde inlogprocedure ISO27002:
9.4.2
Control Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot
(communicatie) systemen en toepassingen te worden beheerst door een
beveiligde inlogprocedure.
Conformiteitsindicatoren en Maatregelen
inlog-
procedure
1. Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt
vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt
bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een
registratie blijkt hoe de rechten zijn toegekend.
ISO27002:
9.4.2.2
2. Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een
vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor
authenticatie.
ISO27002:
9.4.2.1
3. Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en
geautoriseerde applicaties). Drie gebieden, waarvoor expliciete
inlogmechanismen worden toegepast zijn:
1. remote Log-in:
voor gebruikers die van buiten inloggen op de door de organisatie
beheerde bedrijfsnetwerken;
2. versterkte authenticatie:
voor toepassingen waarbij de ‘standaard’ authenticatie van gebruikers
(en applicaties) kan worden gecompromitteerd;
3. Single Sign-On (SSO):
voor situaties, waarbij netwerken worden geacht authenticatie-checks uit
te voeren voor verschillende toepassingen.
ISO27033-2:
7.2.3
U.03 Netwerk beveiligingsbeheer
Beheer en beheersing van netwerken zijn randvoorwaarden voor netwerkbeveiliging en vormen
waarborgen voor de veiligheid van de informatie die via netwerken en ondersteunende informatie
verwerkende faciliteiten wordt getransporteerd.
U.03 Netwerk beveiligingsbeheer ISO27002:
13.1.1
Control Netwerken behoren te worden beheerd en beheerst om informatie in systemen
en toepassingen te beschermen.
Conformiteitsindicatoren en Maatregelen
beheerd 1. Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en
procedures vastgesteld.
ISO27002:
13.1.1 a
2. Netwerken worden geregistreerd en gemonitord conform vastgelegde
procedures en richtlijnen.
ISO27002:
13.1.1 c
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 16 van 28
3. Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de
dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat
beheersmaatregelen consistent in de hele informatie verwerkende
infrastructuur worden toegepast.
ISO27002:
13.1.1 e
4. Ter bescherming tot netwerkdiensten en/of – voor zover noodzakelijk – van -
toepassingen zijn voor het beperken van de toegang procedures opgesteld.
beheerst 5. De functies van operationele netwerkbeheer en overige computerbewerkingen
zijn gescheiden.
ISO27002:
13.1.1 b
6. Systemen worden voorafgaand aan de toegang tot het netwerk
geauthentiseerd.
ISO27002:
13.1.1 f
U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst
In vertrouwelijkheids- of geheimhoudingsovereenkomsten worden, binnen juridisch afdwingbare
voorwaarden, de eisen vastgelegd voor de benodigde bescherming van vertrouwelijke informatie.
U.04 Vertrouwelijkheids- en geheimhoudingsovereenkomst ISO27002:
13.2.4
Control Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten die de
behoeften van de organisatie betreffende het beschermen van informatie
weerspiegelen behoren te worden vastgesteld, regelmatig te worden
beoordeeld en gedocumenteerd.
Conformiteitsindicatoren en Maatregelen
vertrouwelijk
heids- en
geheimhou-
dings-
overeen-
komsten
1. Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten,
worden de volgende elementen in overweging genomen:
a. de looptijd van een overeenkomst;
b. de benodigde acties bij beëindiging;
c. de acties van ondertekenaars bij onbevoegde openbaarmaking van
informatie;
d. hoe eigendom van vertrouwelijke informatie zich verhoudt tot de
bescherming;
e. het toegelaten gebruik van vertrouwelijke informatie en de rechten van
de ondertekenaar om informatie te gebruiken;
f. de voorwaarden voor het teruggeven of vernietigen van informatie na
beëindiging;
g. de acties in geval van schending van de overeenkomst;
h. de privacyregelgeving (UAVG en AVG/GDPR).
ISO27002:
13.2.4
U.05 Beveiliging van netwerkdiensten
De eisen voor de communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de
informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde
toegang tot de transportvoorzieningen zelf.
U.05 Beveiliging van netwerkdiensten ISO27002:
13.1.2
Control Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle
netwerkdiensten behoren te worden geïdentificeerd en opgenomen in
overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten
die intern worden geleverd als voor uitbestede diensten.
Conformiteitsindicatoren en Maatregelen
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 17 van 28
beheereisen 1. Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en
geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen
(zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen),
zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van
een risico-inschatting, mede aan de hand van de aard van de te beschermen
gegevens en informatiesystemen.
ISO27002:
13.1.2.1
2. Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen
worden deze, rekening houdend met de geldende juridische kaders, gedeeld
binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij
voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).
ISO27002:
13.1.2.2
dienst-
verlenings-
niveaus
3. Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
vereiste performance en beschikbaarheid van het netwerk;
toegestane verbindingstypen;
toegestane netwerkprotocollen;
toegepaste applicaties op de te leveren netwerkservices;
beoogde architectuur- en ontwerpprincipes.
ISO27033-2
6.3 en 6.4
beveiligings-
mechanis-
men
4. Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het
gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor
het NBV een positief inzet advies heeft afgegeven.
ISO27002:
13.1.2.3
5. De noodzakelijke beveiligingsmechanismen in de vorm van technische
beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en
versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.
ISO27002:
13.1.2.3
6. Beveiligingsmechanismen voor communicatie worden voorzien op de volgende
OSI lagen:
applicatie niveau; ten behoeve van authenticiteit, integriteit,
vertrouwelijkheid en onweerlegbaarheid: Encryptie;
transport niveau; ten behoeve van veilige point to point verbindingen:
Encryptie;
netwerk niveau; ten behoeve van veilige communicatie tussen devices,
encryptie, firewalls en netwerk verbindingen: VPN.
ISO27002:
13.1.2.3
U.06 Zonering en filtering
Door scheiding aan te brengen in netwerken, ook wel segmentering genoemd, kunnen netwerken
worden beheerd, beveiligd en beheerst. Om vervolgens vanuit het ene netwerk naar de andere veilig
te kunnen communiceren, moeten gecontroleerde doorgangen worden gemaakt. In die doorgangen
worden filtermechanismen aangebracht, die alleen die communicatie doorlaat, die vanuit het beleid is
toegestaan en waarmee ongeoorloofde toegang wordt voorkomen. De scheiding met gecontroleerde
doorgangen heet ‘zonering’.
U.06 Zonering en filtering ISO27002:
13.1.3
Control Groepen van informatiediensten, -gebruikers en -systemen behoren in
netwerken te worden gescheiden (in domeinen).
Conformiteitsindicatoren en Maatregelen
gescheiden
(in
domeinen)
1. Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond
van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen
binnen een domein en het beoogde betrouwbaarheidsniveau.
ISO27002:
13.1.3
NORA-
Netwerk
2. Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. ISO27002:
13.1.3.1
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 18 van 28
3. Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de
gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt
beheerst door middel van een gateway (bijv. een firewall, een filterende
router).
ISO27002:
13.1.3
NORA-
Netwerk en
Koppel-
vlakken
4. Draadloze toegang tot gevoelige domeinen wordt behandeld als externe
verbinding en wordt beveiligd op basis van eisen geldend voor externe
verbindingen.
ISO27002:
13.1.3
U.07 Elektronische berichten
Beveiliging van elektronisch berichtenverkeer, omvat e-mail, web-verkeer, chat-sessies en ‘streaming’
van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreft:
correcte adressering;
geautoriseerde toegang;
integer datatransport;
toereikend zijn van de beschikbaarheid;
voldoen aan (wettelijke) bepalingen voor elektronische handtekening en onweerlegbaarheid.
U.07 Elektronische berichten ISO27002:
13.2.3
Control Informatie die is opgenomen in elektronische berichten, behoort passend te
zijn beschermd.
Conformiteitsindicatoren en Maatregelen
passend 1. Voor de beveiliging van elektronische berichten gelden de vastgestelde
standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van
het Forum Standaardisatie.
ISO27002
:13.2.3.1
2. Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-
Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.
ISO27002:
13.2.3.2
3. Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van
PKI-Overheid certificaten. Gevoelige gegevens zijn o.a. digitale documenten
binnen de overheid waar gebruikers rechten aan kunnen ontlenen.
ISO27002:
13.2.3.3
4. Voor het garanderen van de zekerheid van elektronische berichten wordt
gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102
176-1 (en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum
Standaardisatie)
ISO27002:
13.2.3.4
5. Voor de beveiliging van elektronische berichtenverkeer worden passende
maatregelen getroffen, zoals:
berichten beschermen tegen onbevoegde toegang, wijziging of weigering
van dienstverlening in overeenstemming met het classificatieschema van
de organisatie;
correcte adressering en transport van het bericht waarborgen;
herstelbaarheid van onderbroken communicatie en beschikbaarheid van
de dienst;
wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
toestemming verkrijgen van het verantwoordelijk management en
gegevenseigenaren, voorafgaand aan het gebruiken van externe
openbare diensten zoals instant messaging, sociale netwerken of delen
van bestanden;
2-factor authenticatie voor toegang vanuit openbaar toegankelijke
netwerken.
ISO27002:
13.2.3
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 19 van 28
U.08 Toepassingen via openbare netwerken
Het via openbare netwerken, zoals het internet, beschikbaar stellen van ICT-toepassingen vereist
aanvullende maatregelen ten opzichte van het beschikbaar stellen via besloten netwerken, zoals LAN’s
en intranet. Organisaties moeten zelf bepalen welke maatregelen toereikend zijn voor het beperken
van risico’s als gevolg van frauduleuze activiteiten, geschillen over contracten en onbevoegde
openbaarmaking en wijziging of verminking van gegevens.
U.08 Toepassingen via openbare netwerken ISO27002:
14.1.2
Control Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare
netwerken wordt uitgewisseld, behoort te worden beschermd tegen
frauduleuze activiteiten, geschillen over contracten en onbevoegde
openbaarmaking en wijziging.
Conformiteitsindicatoren en Maatregelen
openbare
netwerken
1. Met communicerende partijen worden afspraken gemaakt over:
wederzijdse authenticatie;
bevoegdheden voor gebruik van de dienst;
integriteit en vertrouwelijkheid van transacties, belangrijke documenten
en onweerlegbaarheid van ontvangst;
passende verificatie voor de controle van de transactie.
SoGP: NC1.4
U.09 Gateways en firewalls
Gateways en firewalls realiseren de maatregelen voor zowel Zonering als voor Filtering en zijn niet
expliciet genormeerd in de ISO27002. De implementatiegids voor Gateways: ISO27033 deel 4 bevat
hiervoor het principe, dat gateways en firewalls filterfuncties behoren te bevatten, welke zodanig
geconfigureerd zijn dat alle netwerkverkeer, zowel inkomend als uitgaand, wordt gecontroleerd en dat
uitsluitend toegestaan netwerkverkeer wordt doorgelaten.
U.09 Gateways en firewalls ISO27033-4
Control De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd,
dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij
in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan
netwerkverkeer wordt doorgelaten.
Conformiteitsindicatoren en Maatregelen
filterfunctie 1. Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de
complete configuratie en de functionele eisen van de gateway of firewall
beschrijft.
SoGP: NC1.5
2. De filterfunctie van gateways en firewalls is instelbaar. SoGP: NC1.5
3. Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig -
doorgegeven aan centrale systemen zoals SIEM.
SoGP: NC1.5
toegestaan 4. Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. SoGP: NC1.5
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 20 van 28
U.10 Virtual Private Networks (VPN)
VPN’s zijn niet expliciet genormeerd in de ISO27002. Een VPN is een zoneringsmaatregel die een
strikte scheiding van netwerkconnecties met andere netwerken mogelijk maakt tussen zowel publieke
als private netwerken. De ISO27033 deel 5 is een implementatiegids voor VPN’s.
U.10 Virtual Private Networks (VPN) ISO27033-5
Control Een VPN behoort een strikt gescheiden end-to end connectie te geven, waarbij
de getransporteerd informatie die over een VPN wordt getransporteerd, is
ingeperkt tot de organisatie die de VPN gebruikt.
Conformiteitsindicatoren en Maatregelen
gescheiden
end-to-end
connecie
1. De end-to-end connectie:
wordt gecreëerd door scheiding van adresseringsruimte en routeringen
tussen VPN’s over het onderliggende netwerk;
geeft garanties, dat de interne structuur van het onderliggende netwerk
niet zichtbaar is voor andere netwerken;
biedt bescherming tegen Denial of Service attacks en ongeautoriseerde
toegang;
biedt bescherming tegen label-spoofing (het mogelijk injecteren van
foute labels).
ISO27033-5:
6
U.11 Cryptografische services
De ISO27002 normeert beleid voor cryptografie en sleutelbeheer.
Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming
van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor versleuteling
van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en
netwerkconnecties.
De Pas-Toe-en-Leg-Uit lijst van het Forum Standaardisatie benoemt passende beheersmaatregelen.
U.11 Cryptografische Services ISO27002:
10
Control Ter bescherming van de integriteit en vertrouwelijkheid en van de
getransporteerde informatie behoren passende cryptografische
beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet.
ISO27033-1:
8.8
Conformiteitsindicatoren en Maatregelen
vertrouwe-
lijkheid
1. Voor het waarborgen van de vertrouwelijkheid van communicatie tussen
zender en ontvanger wordt versleuteling toegepast op één of meer van de
juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI)
faciliteert deze functie.
ISO27033-1:
8.8
integriteit 2. Voor het waarborgen van de integriteit van communicatie tussen zender en
ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden
zijn:
communicatieprotocollen, die de ontvangst onweerlegbaar maken;
applicatieprotocollen, die de signatuur van de zender gebruiken voor
onweerlegbaarheid van ontvangst en de integriteit van de ontvangen
data.
ISO27033-1:
8.8
cryptogra-
fische
3. Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op
de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie
ISO27002:
18.1.5.1
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 21 van 28
beheers-
maatregelen
4. Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-
standaarden, voor de sterkte, met een voor de toepassing en context relevante
sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
Advanced Encryption Standard (AES);
sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware”
toepassingen.
ISO18033
U.12 Wireless Access
Draadloze toegang, ofwel wireless access, is niet expliciet genormeerd in de ISO27002. De
implementatiegids ISO27033-deel 6 beschrijft operationele maatregelen voor de relatief kwetsbare
draadloze netwerken.
U.12 Wireless Access ISO27033-6
Control Draadloos verkeer behoort te worden beveiligd met authenticatie van devices,
autorisatie van gebruikers en versleuteling van de communicatie.
Conformiteitsindicatoren en Maatregelen
authenticatie
autorisatie
en
versleuteling
van de
communica-
tie
1. Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de
volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatie (EAP-
TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde
gebruikers.
integriteitcontrolemechanismen voorkomen Man-in the middle attacks;
encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol
wordt standaard toegepast, met backwards compatibility mogelijkheden
voor ondersteuning van oudere of minder sterke protocollen;
autorisatie van mobiele clients, b.v. via MAC adresfiltering;
toegangscontrole van eindgebruikers, b.v. via RBAC;
niet toegestane typen netwerkverkeer worden geblokkeerd;
niet benodigde functies zijn altijd uitgeschakeld (Hardening);
bekende kwetsbaarheden in de systeemsoftware worden doorlopend
opgelost (patching & patchmanagement).
SoGP: NC1.3
U.13 Netwerkconnecties
Netwerkconnecties zijn niet expliciet genormeerd in de ISO27002. De ISO27033 benoemt in een
principe, dat alle gebruikte segmenten, routeringen, verbindingen en aansluitpunten van een
bedrijfsnetwerk bekend behoren te zijn en te worden bewaakt.
U.13 Netwerkconnecties ISO27033-2
Control Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van
een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt.
Conformiteitsindicatoren en Maatregelen
verbindingen 1. Voor de beheersing van netwerken worden de volgende minimumeisen
toegepast:
identificatie van alle soorten van netwerkverbindingen die worden
gebruikt;
actuele lijst van toegestane en gebruikte protocollen;
actuele lijst van gebruikte netwerktoepassingen;
continu onderzoek naar beveiligingsrisico’s voor netwerken;
actuele netwerktopologie en daarvoor geldende beveiligingseisen.
ISO27033-2:
8.4
SoGP: NC1.4
bewaakt 2. Netwerken worden bewaakt op het beoogd gebruik en overtreding van
securitybeleid wordt gelogd.
ISO27033-2:
8.5
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 22 van 28
U.14 Netwerkauthenticatie
Netwerkauthenticatie is niet expliciet genormeerd in de ISO27002. Inherent aan het protocol IEE
801.x dient, om onbevoegd aansluiten van netwerk-devices te voorkomen, authenticatie van netwerk-
nodes te worden toegepast. Sniffing, ofwel afluisteren, is een van de vormen van onbevoegde
toegang.
U.14 Netwerkauthenticatie NORA
Control Authenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd
aansluiten van netwerk-devices (Sniffing) te voorkomen.
IEEE 801.x
Conformiteitsindicatoren en Maatregelen
authenticatie
van
netwerk-
nodes
1. Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteit
van een aangesloten netwerk-device gecontroleerd (EAP-TLS).
SoGP: NC1.3
2. Alleen de specifiek voor het netwerk toegestane netwerk-devices worden
logisch gekoppeld met de in het netwerk aanwezige clients en
informatiesystemen (IEE 802.1x).
SoGP: NC1.3
U. 15 Netwerk-beheeractiviteiten
Netwerkbeheer is een randvoorwaarde voor informatiebeveiliging. Beheeractiviteiten behoren
nauwgezet te worden gecoördineerd, zowel voor een optimale dienstverlening als om te waarborgen
dat de beheersmaatregelen consistent worden toegepast binnen de gehele informatie verwerkende
infrastructuur.
U.15 Netwerk-beheeractiviteiten ISO27002:
13.1.1
Control Netwerken behoren te worden beheerd en beheerst om informatie in systemen
en toepassingen te beschermen.
Conformiteitsindicatoren en Maatregelen
beheerd 1. Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en
gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen
van netwerkverbindingen. In het bijzonder geldt daarbij:
administratie:
o het continue actualiseren van de netwerktopologie;
o het beheersen en ‘huishouden’ van netwerk-resources en de wijze
waarop die beschikbaar zijn gesteld.
beschikbaarheidsbeheer;
o het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en
dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg
mogelijk worden ontdekt en te verholpen.
incident management:
o het zorgdragen dat op alle incidenten en bevindingen actie wordt
ondernomen, met rapportage.
technische kwetsbaarheden management:
o het verzamelen en uitvoeren van securityupgrades, zoals het
aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-
Operating Software (OS) en het nemen van preventieve maatregelen
voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot
netwerkbekabeling;
o het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals
bescherming tegen ongeautoriseerde (fysieke) toegang van
netwerksegmenten.
ISO27033-2:
8.4
beheerst 2. Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in
netwerken, zoals patching van netwerkbekabeling in netwerk-verdeelkasten.
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 23 van 28
U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events)
Op communicatievoorzieningen vinden geautomatiseerde en handmatige activiteiten en zowel
gewenste als ongewenste gebeurtenissen plaats. Informatiebeveiliging impliceert dat deze events
worden gemonitord, de ernst daarvan wordt beoordeeld en dat de risico’s worden vastgelegd. Met
behulp van deze registratie kunnen situaties worden hersteld en kan van voorvallen worden geleerd
opdat schade in de toekomst mogelijk wordt voorkomen. Voor dit proces kan gebruik gemaakt worden
van een Security Information & Event Management systeem (SIEM) of van een functioneel
gelijkwaardig systeem. Voor het beoordelen van de gebeurtenissen is specifieke deskundigheid
vereist.
U.16 Vastleggen en monitoren van netwerkgebeurtenissen (events) ISO27002:
12.4
Control Informatiebeveiligingsgebeurtenissen in netwerken, behoren geregistreerd,
bewaard en beoordeeld te worden (op de ernst van de risico’s).
Conformiteitsindicatoren en Maatregelen
geregis-
treerd,
bewaard
1. Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline)
worden geregistreerd en vastgelegd in audit-logs.
ISO27033-2:
8.4 en 8.5
beoordeeld 2. Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met
SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.
U.17 Netwerk beveiligingsarchitectuur
Beveiligingsarchitectuur is niet expliciet genormeerd in de ISO27002. In de ISO27033 deel 2 wordt
over netwerk beveiligingsarchitectuur beschreven dat deze - gebaseerd op het vigerende
bedrijfsbeleid, leidende principes en geldende normen en standaarden - de samenhang van het
netwerk beschrijft en structuur biedt voor de beveiligingsmaatregelen. Daarbij behoort het redundant
uitvoeren van componenten of architecturen in overweging te worden genomen.
U.17 Netwerk beveiligingsarchitectuur ISO27033-2
Control Beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven
en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het
vigerende bedrijfsbeleid, leidende principes en de geldende normen en
standaarden.
Conformiteitsindicatoren en Maatregelen
samenhang 1. De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de
architectuur van het te beveiligen systeem.
CIP
Domeingroep
BIO
2. De beveiligingsarchitectuur is gelaagd, zoals:
NORA Beveiliging Metamodel;
SABSA®.
Noraonline.nl,
OpenGroup.o
rg
3. De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden. CIP
Domeingroep
BIO
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 24 van 28
2 Control domein
2.7. Doelstelling
Doel van het control domein (beheersing) is te zorgen en/of vast te stellen dat:
netwerkdiensten veilig zijn ingericht voor het leveren van de beoogde prestaties;
het beoogde beveiligingsniveau van technische netwerkdiensten en netcomponenten kan worden
gegarandeerd.
Dit betekent dat de organisatie over adequate beheersingsorganisaties beschikt en waarin beheerprocessen zijn
vormgegeven.
2.8. Risico’
Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de
netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze
omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden
nageleefd.
2.9. Control objecten
Onderstaande afbeelding is het resultaat van SIVA analyse op relevante objecten voor Netwerk-Control. De tabel
geeft in een 1-liner aan wat per control specifiek is voor de bescherming van Communicatievoorzieningen.
Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door
bepaalde functionaris met specifieke bevoegdheden controle activiteiten te worden verricht. Deze activiteiten
dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de
beheersingsorganisatie beschrijft de samenhang van de ingerichte processen.
Nr. Relevante beveiligingsobjecten Referentie naar standaarden IFGS
C.01 Naleving richtlijnen netwerkbeheer en evaluaties BIO:18.2.3, SoGP: SM1.1.1, SM3.5.2 I
C.02 Netwerkbeveiliging compliancy checking BIO:8.2.2.4, ISO27033-1
ISO27033-2: 7.2.6, 8.7
F
C.03 Evalueren van robuustheid netwerkbeveiliging BIO:18.1.2, 18.2.1,
ISO27033-1: 8.2.5, SoGP: NW1.3
F
C.04 Evalueren van netwerkgebeurtenissen
(monitoring)
BIO:8.2.4, ISO27033-1 G
C.05 Beheersorganisatie netwerkbeveiliging ISO27003: ISMS, SoGP: NW1.4 S
C.01 Naleving richtlijnen netwerkbeheer en evaluaties
Organisaties wisselen steeds meer elektronisch informatie uit, zowel met andere organisaties als met
thuiswerkende medewerkers. Gelet op risico’s van virussen en andere malware, maar ook van het
weglekken van informatie, moeten communicatievoorzieningen continu worden onderhouden, bewaakt
en geëvalueerd. Ook moet speciale aandacht besteed worden aan de uitgewisselde informatie.
Afbeelding 6: Overzicht van Beheersingsobjecten
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 25 van 28
C.01 Naleving richtlijnen netwerkbeheer en evaluaties ISO27033-1
Control Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren
periodiek getoetst en geëvalueerd te worden.
Conformiteitsindicatoren en Maatregelen
naleving 1. De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en
geëvalueerd op basis van een audit van tenminste de volgende elementen:
netwerk topologie / ontwerp, op basis van principes als “defence in
depth”en “inbraak betekent geen doorbraak”;
identificatie en authenticatie mechanismen;
autorisatiemechanismen en actuele administratie van uitgegeven
rechten;
actuele beleidsregels voor netwerkbeveiliging;
aanwijzingen voor hardening van netwerkcomponenten;
verifieerbare audit-log oplossing.
ISO27003: 8
ISO27033-2:
8
C.02 Netwerkbeveiliging compliance checking
In de praktijk is het noodzakelijk gebleken, om regelmatig te toetsen of de beoogde beveiliging van de
netwerkvoorzieningen nog conform het actuele beveiligingsbeleid functioneert. Het accent ligt hier op
naleving van beleid. Periodiek dienen zowel de organisatorische als technische aspecten van de
maatregelen - zoals: de taken en verantwoordelijkheden, de beschikbaarheid van voldoende
technische middelen, etc. - beoordeeld te worden en als resultaat dient hierover een rapportage van
bevindingen aan het management te worden uitgebracht.
C.02 Netwerkbeveiliging compliancy checking ISO27002:18
.2
Control De naleving van een, conform het beveiligingsbeleid, veilige inrichting van
netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten
behoren gerapporteerd te worden aan het verantwoordelijke management
(Compliancy checks).
Conformiteitsindicatoren en Maatregelen
periodiek 1. Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van
beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan
bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of
penetratietesten.
ISO27002:
18.2.3.1
inrichting 2. De checklist voor veilige inrichting van netwerk(diensten) is samengesteld
vanuit:
actueel beveiligingsbeleid;
gerelateerde Security Operation documentatie;
specifieke beveiligingsarchitectuur voor netwerk en
communicatie(diensten);
beleid voor toegang tot Security gateway services;
bedrijfscontinuïteitsplannen;
relevante beveiligingscondities voor netwerkverbindingen.
ISO27002:
18.2
verantwoor-
delijke
3. Resultaten worden gerapporteerd aan het verantwoordelijke management ISO27002:
18.2
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 26 van 28
C.03 Evalueren van robuustheid netwerkbeveiliging
Binnen de infrastructuur bevinden zich diverse netwerkvoorzieningen en welke het fundament vormen
voor de gegevensuitwisseling. Het is noodzakelijk om regelmatig te toetsen of de robuustheid van de
beveiliging van de netwerkvoorzieningen voldoet aan de gestelde eisen. Het accent ligt hier op de
vraag of sterkte van de beveiliging voldoet aan de actuele eisen. Periodiek dienen zowel de
organisatorische als de technische aspecten van beveiligingsmaatregelen beoordeeld te worden en
welke vervolgens worden gerapporteerd aan het verantwoordelijke management.
C.03 Evalueren va robuustheid netwerkbeveiliging ISO27033-1
Control De robuustheid van de beveiligingsmaatregelen en de naleving van het
netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
Conformiteitsindicatoren en Maatregelen
robuustheid 1. De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat
tenminste de volgende onderzoeks-elementen:
robuustheid van het ontwerp, op basis van principes als “defence in
depth” en “inbraak betekent geen doorbraak”;
sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
juiste implementatie van beleidsregels voor netwerkbeveiliging;
verificatie van de hardening van netwerkcomponenten;
verificatie van de audit-log oplossing;
bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
informatie over gebeurtenissen en incidenten, gerapporteerd door service
personeel en eindgebruikers.
ISO27002:
18.2
C.04 Evalueren van netwerkgebeurtenissen (monitoring)
Het beveiligen van de beveiligingsfuncties is cruciaal voor zekerheid over het bereiken van het
beoogde beveiligingsniveau en daarvoor moet het beheer van de beveiligingsfuncties worden
vastgelegd in auditlogs en worden beoordeeld. De audit-logs dienen zodanig te worden ingericht dat
netwerkbeheerders geen toegang kunnen hebben tot de vastgelegde beheerhandelingen.
C.04 Evalueren van netwerkgebeurtenissen (monitoring) ISO27033-1:
8.5
Control Toereikende logging en monitoring behoort te zijn ingericht, om detectie,
vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk
van invloed op, of relevant kunnen zijn voor, de informatiebeveiliging
NIST: H6
Conformiteitsindicatoren en Maatregelen
onderzoek
van gebeur-
tenissen
1. Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
via audit-logging en continue monitoring en gekoppeld aan detectie
registreren van gebeurtenissen;
onderzoek uit te voeren én vervolgens
snel te reageren.
ISO27002:
18.2
2. Continue bewaking via monitoring legt de volgende informatie vast:
audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
analyse-informatie vanuit Intrusion Detection Systemen (IDS);
resultaten vanuit netwerkscanning activiteiten.
ISO27002:
18.2
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 27 van 28
C.05 Beheerorganisatie netwerkbeveiliging
Het adequaat beheersen en beheren van de communicatievoorzieningen vereist een
organisatiestructuur waarin de procesverantwoordelijkheden en toereikende bevoegdheden van de
functionarissen zijn vastgelegd en op het juiste niveau zijn gepositioneerd.
C.05 Beheerorganisatie netwerkbeveiliging ISO27002:
6.1.1
Control Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden
gedefinieerd en toegewezen.
Conformiteitsindicatoren en Maatregelen
verantwoor-
delijkheden
1. De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
2. Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met
risico’s voor de doelorganisatie. Het beleggen van de juiste
verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra
aandacht:
de entiteit, die verantwoordelijk is voor de communicatievoorzieningen
worden bepaald en de taken en details, vanuit de verantwoordelijkheid
zijn actueel, vastgelegd en bekend;
de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn
gedefinieerd en gedocumenteerd;
de netwerkbeheerders zijn en blijven goed opgeleid en competent voor
de uitvoering van hun taken;
de coördinatie en overzicht van informatiebeveiligingsaspecten van
dienstverleners is geïdentificeerd gedocumenteerd en wordt continu
gemonitord.
ISO27002:
6.1.1
Bijlage 1 Definitie van objecten
Objectnaam Betekenis van de objecten in relatie tot het thema
B.01 Beleid en procedures
informatietransport
De waarborging van de bescherming van informatie in netwerken, door
inzet van beheerprocedures voor informatietransport en het hanteren
van procedures voor bewaking van netwerken.
B.02 Overeenkomsten
informatietransport
Contracten en afspraken, waarin het dienstverleningsniveau,
beveiligingsmechanismen en beheersingseisen voor netwerkdiensten zijn
vastgelegd, zowel voor intern geleverde diensten als voor uitbestede
diensten.
B.03 Cryptografiebeleid Beleid en afspraken, specifiek gericht op de toepassing van cryptografie
binnen netwerken en communicatieservices.
B.04 Organisatiestructuur
netwerkbeheer
Opzet van de administratieve organisatie van netwerk en
communicatiebeheer.
U.01 Richtlijnen netwerkbeveiliging Algemene, operationele beveiligingsrichtlijnen voor ontwerp,
implementatie en beheer van communicatievoorzieningen.
U.02 Beveiligde inlogprocedures Is gerelateerd aan twee aspecten: Aanmelden en Procedure.
Aanmelden (inloggen) behelst het leggen van een verbinding- via
authenticatie middelen.
De procedure is de samenhangende beschrijving van welke
activiteiten moeten plaatsvinden.
U.03 Netwerk beveiligingsbeheer Het beheer van beveiligingsprocedures en -mechanismen.
U.04 Vertrouwelijkheid-
geheimhoudingsovereenkomst
De eisen die aan dienstverleners en partners gesteld worden in de
operatie voor het waarborgen van de vertrouwelijkheid van gegevens en
de uitvoering van bedrijfsprocessen.
U.05 Beveiliging netwerkdiensten De eisen die aan dienstverleners gesteld worden t.a.v. te nemen
1-2-2019
BIO Thema Communicatievoorzieningen 1.0 Blz.: 28 van 28
maatregelen voor beveiligingsmechanismen, het dienstverleningsniveau
en de kwaliteit van de beheerprocessen.
U.06 Zonering en filtering Gaat over twee aspecten: Scheiding en Gecontroleerde doorgang.
Scheiding is het positioneren van netwerken in afzonderlijke
fysieke ruimten of het segmenteren van netwerken in afzonderlijk
te beveiligen (logische) domeinen.
Gecontroleerde doorgang is het reguleren van de toegang van
personen tot netwerkvoorzieningen en/of het en filteren van
informatiestromen op basis van beleidsregels met filters en
algoritmen.
U.07 Elektronische berichten Beveiliging van elektronisch berichtenverkeer, zoals b.v. e-mail, web-
verkeer, chat-sessies en ‘streaming’ audio en video. Beveiliging omvat
maatregelen voor bescherming van het berichtenverkeer, zoals
geautoriseerde toegang, correcte adressering en integer datatransport,
beschikbaarheid en (wettelijke) bepalingen voor elektronische
handtekening en onweerlegbaarheid.
U.08 Toepassingen via openbare
netwerken
Gebruik van openbare netwerken voor uitwisseling van informatie van
uitvoeringsdiensten vereist bescherming tegen inbraak, waarmee
frauduleuze praktijken, geschillen over contracten en onbevoegde
openbaarmaking of onbevoegde wijziging kunnen worden voorkomen.
U.09 Gateway / Firewall Beveiligingsmechanisme voor zonering en gecontroleerde toegang.
U.10 Virtual Private Networks
(VPN)
Beveiligingsmechanisme voor het inrichten van een vertrouwd
toegangspad tussen 2 of meerdere netwerk-nodes.
U.11 Cryptografische services Versleuteling van netwerkverkeer, met behulp van hardware of software
voorzieningen, die kunnen voorkomen op alle zeven lagen van het OSI-
model. Cryptografische services voor communicatie met partners en
burgers maken gebruik van Public Key Infrastuctuur middelen, zoals de
aan certificaten gebonden private en publieke sleutels.
U.12 Wireless Access Toegang tot draadloze netwerken bedoeld voor mobiele communicatie.
U.13 Netwerk connecties Verbindingen netwerk-eindpunten (nodes) worden beheerd en zijn
vastgelegd in een netwerktopologie.
U.14 Netwerk authenticatie Voorziening, die controleert of een netwerkdevice geautoriseerd is om
op het netwerk te kunnen worden aangesloten.
U.15 Netwerkbeheeractiviteit Activiteiten die uitsluitend door netwerkbeheerders kunnen worden
uitgevoerd op communicatievoorzieningen.
U.16 Vastleggen netwerkevents Het uniek en onveranderlijk vastleggen van (beveiligings)
gebeurtenissen in een netwerk (in een audit-logfile).
U.17 Netwerksecurityarchitectuur Beschrijving en beelden van de structuur en onderlinge samenhang van
de verschillende beveiligingsfuncties in een netwerk.
C.01 Naleving richtlijnen
netwerkbeheer en evaluatie.
Evaluatie op de naleving van netwerkbeveiligingsbeleid.
C.02 Netwerksecurity Compliance
checking
Periodieke toetsing en managementrapportage over naleving van het
beveiligingsbeleid voor netwerkdiensten.
C.03 Evalueren robuustheid
netwerkbeveiliging
Toetsing van de robuustheid (resilience) van beveiligingsfuncties in
communicatievoorzieningen.
C.04 Evalueren gebeurtenissen
(monitoring)
Het beoordelen van de (doorlopend) verzamelde security gerelateerde
gebeurtenissen in netwerken.
C.05 Beheersorganisatie
netwerkbeveiliging
De opzet van een toereikende organisatiestructuur voor het beheren
van- en rapporteren over netwerken en communicatievoorzieningen.
Tabel 1 Omschrijving van de geïdentificeerde ISO-27002 objecten
Top Related