Operationele Baseline Beveiliging DWR

Transcriptie

1 Operationele Baseline Beveiliging DWR Versie: 1.0 Datum:

2 Management samenvatting Dit document bevat een baseline van operationele beveiligingsmaatregelen gericht op de ICTvoorzieningen van de Digitale Werkomgeving Rijk (DWR). Het heeft een directe relatie met het Tactisch Normenkader Beveiliging DWR. De Operationele Baseline is een concrete invulling van de relevante normen uit het TNK. De eisen in het tactisch normenkader zijn op tactisch niveau geformuleerd en laten de diverse leveranciers van DWR-voorzieningen dus ruimte om eigen keuzes te maken ten aanzien van de operationele beveiligingsmaatregelen, mits hiermee aan de tactische eisen wordt voldaan. Hoewel het tactisch normenkader een goede basis biedt voor het realiseren van een gezamenlijk vastgesteld beveiligingsniveau voor DWR is het toch wenselijk om een deel van de tactische eisen uit te werken tot een baseline van operationele beveiligingsmaatregelen. Dat voor de meest belangrijke toepassingsgebieden. Dit dient de volgende doelen: ondersteuning bieden bij het implementeren van het tactisch normenkader; verminderen interpretatie verschillen vereenvoudigen van de toetsing; voorkomen van interoperabiliteits- of beheerproblemen. Interoperabiliteits- of beheerproblemen kunnen optreden wanneer leveranciers verschillende operationele invullingen kiezen om te voldoen aan het tactisch normenkader. In gevallen waar dit risico bestaat worden in deze operationele baseline specifieke operationele beveiligingsmaatregelen afgedwongen. Voor alle maatregelen in dit document geldt daarom het comply or explain principe. De operationele baseline is primair van toepassing op (en beperkt zich tot) alle ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR-Client en server based DWR-applicaties die door de departementen zelf worden beheerd. In het tactisch normenkader, en daarvan afgeleid in deze baseline, zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. In de opzet van dit document wordt uitgegaan van informatiebeveiligings (IB-) patronen. IBpatronen zijn te beschouwen als standaardoplossingen voor veelvoorkomende beveiligingssituaties en zijn herbruikbaar op diverse plaatsen binnen de ICT-voorzieningen van DWR. Per IB-patroon worden operationele beveiligingseisen benoemd, waarmee de selectie van relevante maatregelen voor een concrete implementatiesituatie wordt gefaciliteerd. Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend: Dienstleverancier Systeemleverancier Netwerkleverancier Voor alle eisen en richtlijnen is aangegeven op welke van bovenstaande rollen ze van toepassing zijn. Dit maakt het mogelijk om te bepalen welke subset van eisen aan een leverancier dient te worden opgelegd. 2 van 68

3 Versiebeheer Versie Datum Steller Veranderingen/commentaar EO Initiële versie SD Aanvulling met maatregelen vanuit GOUD EO Interne review verwerkt EO Inleiding, IB-patronen toegevoegd EO Indeling herzien, review André Smulders verwerkt EO, SD Review Cees Vaes verwerkt, model en patronen verder uitgewerkt EO, SD Intern review commentaar verwerkt, opgelijnd met [tnkdwr] BP Mgmt. samenvatting en inleiding aangepast, interne reviews verwerkt EO, SD Review commentaar verwerkt EO, SD Review commentaar verwerkt TM Review commentaar verwerkt 0.99j LG Review commentaar verwerkt 0.99k LG Review commentaar verwerkt LG Definitieve versie, vastgesteld door pb, geen inhoudelijke aanpassingen Auteur(s) EO SD BP TM LG Eddy Olk Sander Degen Bert Jan te Paske Twan van der Meer Leon Grinwis 3 van 68

4 Inhoudsopgave 1 Inleiding Doel van dit document Doelgroep Ontwikkeling document Afbakening Opzet Bronnen Samenhang met andere documenten Leeswijzer 11 2 Architectuur DWR Beveiligingsdomeinen Zonering en compartimentering DWR objecten 13 3 Beveiligingseisen en richtlijnen Patroon Generieke netwerkconfiguratie Patroongroep Koppelvlakken Subpatroon Beveiligd koppelvlak voor onvertrouwde netwerken Subpatroon Beveiligd koppelvlak voor vertrouwde netwerken Subpatroon Beveiligd koppelvlak voor compartimenten Patroongroep Systemen Subpatroon Generieke systeemconfiguratie Subpatroon Generieke werkplekconfiguratie (vaste en mobiele werkplek) Subpatroon Generieke serverconfiguratie Patroon Generieke applicatieconfiguratie Patroon Multifunctional-configuratie Patroon Authenticatie/Autorisatie Patroon Demilitarized Zone Patroon Logging/monitoring Patroon Backend-beheer Patroon Data recovery Addendum 1 - DWR-Client specifiek Addendum 2 Wijzigingen log 64 4 Referenties 65 5 Afkortingenlijst 66 6 Begrippenlijst 67 4 van 68

5 1 Inleiding Het voorliggende document is een resultaat van het programma DWR (Digitale Werkomgeving Rijk). De doelstelling van DWR is het leveren van een uniforme digitale werkomgeving, ondersteund door een interdepartementale infrastructuur, die Rijksambtenaren toegang geeft tot alle informatie en functionaliteit die nodig is om hun taken alleen en in gezamenlijkheid te kunnen vervullen [progdwr]. Het programma DWR is gevormd door de bundeling van diverse lopende rijksbrede ICT-initiatieven, waaronder Rijksweb en GOUD. De door het programma DWR opgeleverde resultaten zullen in beheer worden genomen door een staande organisatie die verantwoordelijk wordt voor de levering van DWR-voorzieningen aan de afnemende departementen. De Digitale Werkomgeving Rijksdienst biedt de rijksmedewerker op elk gewenst moment op elke plaats de voorzieningen om op veilige wijze te beschikken over de digitale informatie die hij voor zijn werk nodig heeft. 1.1 Doel van dit document In het Tactisch Normenkader Beveiliging DWR [tnkdwr] worden eisen geformuleerd aan de ICTvoorzieningen van DWR en de (beheer-)omgeving van die ICT-voorzieningen. De eisen zijn op tactisch niveau geformuleerd en laten de diverse leveranciers van DWR-voorzieningen dus ruimte om eigen keuzes te maken ten aanzien van de operationele beveiligingsmaatregelen, mits hiermee aan de tactische eisen wordt voldaan. Hoewel het tactisch normenkader een goede basis biedt voor het realiseren van een gezamenlijk vastgesteld beveiligingsniveau voor DWR is het toch wenselijk om een deel van de tactische eisen uit te werken tot een baseline van operationele beveiligingsmaatregelen. Dit dient de volgende doelen: a. ondersteuning bieden bij het implementeren van het tactisch normenkader; b. vereenvoudigen van de toetsing; c. voorkomen van interoperabiliteits- of beheerproblemen. Ad a. Het vertalen van tactische eisen naar operationele beveiligingsmaatregelen voor een specifieke ICT-voorziening is niet triviaal. Een document dat relevante maatregelen voorstelt voor veel voorkomende voorzieningen geeft daaraan richting. Ad b. Hoewel formele toetsing altijd zal plaatsvinden tegen het tactisch normenkader is de implementatie van operationele maatregelen eenvoudiger vast te stellen. Door maatregelen in de operationele baseline te implementeren kan een leverancier aantonen dat aan een deel van de tactische normen wordt voldaan (namelijk het deel dat door de betreffende maatregelen wordt ingevuld). 5 van 68

6 Ad c. In sommige gevallen is het niet voldoende om uniforme eisen op tactisch niveau op te leggen. Leveranciers zullen met verschillende operationele implementaties weliswaar het vereiste beveiligingsniveau halen, maar problemen kunnen ontstaan met betrekking tot interoperabiliteit of beheerbaarheid. In zulke gevallen dient een specifieke operationele invulling van de tactische norm te worden afgedwongen. De operationele baseline is er op gericht om voor een periode van enkele jaren toepasbaar te zijn. Geadviseerd wordt om de baseline tenminste jaarlijks te toetsen en waar nodig bij te stellen zodat wijzigingen in de opzet en scope van DWR hun weerslag krijgen in de te nemen beveiligingsmaatregelen. 1.2 Doelgroep De doelgroep van dit document bestaat uit de partijen die betrokken zijn bij de ontwikkeling, implementatie, het beheer en de afname van de DWR ICT diensten. Tevens zal dit document gebruikt worden, als referentie, door controlerende instanties (auditors). 1.3 Ontwikkeling document Deze operationele baseline is het resultaat van de samenwerking van experts van departementen, DWR en TNO. De basis voor dit document is afkomstig van GOUD. Tijdens de ontwikkeling van de operationele baseline hebben afgevaardigden van alle departementen informatie geleverd om het document aan te laten sluiten bij de behoeften van de departementen. Als afsluiting hebben deze personen ook bijgedragen aan de finale review. De bemerkingen van deze review zijn verwerkt in het document. 1.4 Afbakening De scope van deze operationele baseline wordt afgebakend door a. de beveiligingsaspecten waarop de eisen betrekking hebben; b. waar de eisen en richtlijnen toepasbaar zijn (het bereik). Ad a. In het tactisch normenkader zijn eisen geformuleerd aan zowel de ICT-voorzieningen zelf als de omgeving waarin die ICT-voorzieningen worden geplaatst en beheerd. De scope van deze operationele baseline beperkt zich tot (technische) eisen en richtlijnen aan de ICT-voorzieningen en doet geen uitspraak over (fysieke en procedurele) beveiligingseisen aan de omgeving. Ook de organisatorische inrichting, die moet borgen dat de in dit document genoemde beveiligingsmaatregelen uitgevoerd kunnen worden, valt buiten de scope van dit document. Ad b. De beveiligingsmaatregelen in deze operationele baseline zijn gegroepeerd naar patronen (zie 1.5). Deze patronen bepalen de structuur van het document. Eisen uit het tactisch normenkader die geen relevantie hebben binnen de beschreven patronen zijn dan ook niet op operationeel niveau uitgewerkt. Dit geldt bijvoorbeeld voor de eisen aan de omgeving (zie ook ad a), concreet 6 van 68

7 zijn deze opgenomen in hoofdstuk 3 Beveiliging omgeving ICT voorzieningen van het tactische normenkader [tnkdwr]. De eisen en richtlijnen in de baseline zijn (net als die in het tactisch normenkader) van toepassing op alle voorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR-Client en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit laatste geval heeft een departement niet de rol van afnemer, maar die van leverancier van beheerdiensten aan DWR. In het tactisch normenkader, en daarvan afgeleid in deze baseline, zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. Eisen aan het gebruik van de DWRvoorzieningen (bijvoorbeeld ten aanzien van de fysieke beveiliging van de werkomgeving of de wijze van omgaan met vertrouwelijke informatie) maken geen deel uit van dit document. 1.5 Opzet IB-patronen In de opzet van deze operationele baseline wordt uitgegaan van informatiebeveiligings (IB-) patronen. IB-patronen zijn te beschouwen als standaardoplossingen voor veelvoorkomende beveiligingssituaties en zijn herbruikbaar op diverse plaatsen binnen de ICT-voorzieningen van DWR. Per IB-patroon worden operationele beveiligingseisen en richtlijnen benoemd, waarmee de selectie van relevante maatregelen voor een concrete implementatiesituatie wordt gefaciliteerd. Typerend aan het denken in- en werken met patronen is: het niet voor elke situatie ontwikkelen van een maatwerkoplossing het niet voor elke nieuwe businessfunctie uitvoeren van een risicoanalyse het plaatsen van maatregelen in context en samenhang Kenmerkend voor patronen is dat deze: een standaard oplossingsbeschrijving zijn voor generiek probleem meerdere (tactische) normen invullen beperkt zijn in aantal breed toepasbaar zijn en niet specifiek voor één situatie als uit vakkennis gestolde bouwsteen fungeren een taal vormen om samen op een hoger conceptueel niveau over een ontwerp te praten Dit document volgt de wijze waarop NORA patronen toepast. Bedrijfsobjecten kennen eisen ten aanzien van IB-aspecten (beschikbaarheid, integriteit en vertrouwelijkheid). Vanuit het van de architectuur afgeleide beschouwingmodel, het IB-functiemodel en IB-normen wordt het IB- Overzichtsmodel gecreëerd bestaande uit IB-patronen (zie onderstaande figuur). Patronen dekken in de regel meerdere IB-normen af en zijn beschreven in oplossingsvorm. Het werken met patronen is eenvoudiger, doelmatiger en beter controleerbaar dat het alternatief bestaande 7 van 68

8 het werken vanuit vele (in de praktijk vaak honderden) losse normen. Voor meer informatie wordt verwezen naar NORA (security katern). Bedrijfsobjecten eisen IB-aspecten Beschouwingsmodel IB-functiemodel IB-normen IB-Overzichtsmodel IB-patroon Figuur 1 Patroon ontwikkeling Binnen de NORA definitie bevat een patroon: De naam van het patroon Criteria van beveiliging waarvoor het patroon werkt Context waarin dit patroon zinvol is Probleem dat ermee wordt opgelost Oplossing die het biedt Overwegingen die gemaakt worden Praktijkvoorbeelden van de toepassing ervan Gevolgen van het gebruik Relatie met andere patronen Relatie met de normen Overige aspecten, verwijzing naar bronnen, etc. Dit document bevat een ten opzichte van deze definitie vereenvoudigde vorm en aan de oplossing gekoppelde operationele normen (sub-optimaal). Het document zal tijdens het gebruik ervan (de praktijk) dienen te evolueren naar een hoger volwassenheidsniveau (wat ook geldt voor het gebruik zelf) Relatie tactisch normenkader In deze baseline zijn patronen opgenomen die beschrijven hoe IB-normen uit het tactisch normenkader dienen te worden geoperationaliseerd in hun toepassingsgebied. Belangrijk in gedachten te houden hierbij is dat: De baseline niet tot doel heeft alle tactische normen, te vertalen naar operationele normen voor elk mogelijk toepassingsgebied. Wat zou leiden tot onwerkbaar veel losse normen (1 op N relatie). In tegenstelling daarmee heeft deze baseline als doel voor essentiële toepassingsgebieden patronen vast te stellen en daarin de operationalisering van de relevante 8 van 68

9 tactische normen te bundelen (N op 1). Dat leidt tot meer doelmatigheid, werkbaarheid en controleerbaarheid. De relatie tussen het tactisch normenkader en deze baseline wordt gelegd vanuit de patronen. Elk patroon bevat een overzicht van de voor het relevante toepassingsgebied van dat patroon geoperationaliseerde tactische normen. Het tactisch normenkader een basis beveiligingsniveau kent. De in deze baseline opgenomen oplossingen en normen zijn van toepassing op dat basis beveiligingsniveau. De oplossing beschreven binnen het patroon, invulling geeft aan de relevante tactische eisen binnen het betreffende toepassingsgebied. Dat aangevuld en/of aangescherpt met operationele normen eveneens opgenomen in het betreffende patroon Rollen Niet alle eisen en richtlijnen in de operationele baseline zijn relevant voor alle partijen die betrokken zijn bij de levering en het beheer van DWR-voorzieningen. Hierbij kunnen de volgende rollen worden onderkend: DL SL NL Rol Dienstleverancier Deze levert een dienst; dit kan een applicatie zijn die direct door eindgebruikers kan worden benaderd of een ondersteunende dienst. Systeemleverancier Deze levert de (niet-netwerk-) systemen die de dienstleveranciers in staat stelt om hun diensten aan te bieden. Netwerkleverancier Deze levert de netwerkinfrastructuur. Onderdelen hiervan zijn bijvoorbeeld routers, switches, netwerkkabels en patchkasten. Niveau Applicaties Systemen Communicatie In de operationele baseline is per norm aangegeven voor welke rollen deze van toepassing is. Opgemerkt moet worden dat deze (uitvoerende) rollen door verschillende partijen ingevuld zullen worden en dat een partij meerdere rollen kan vervullen. Ondanks het eventueel laten uitvoeren van bepaalde werkzaamheden door derden en de daarmee samenhangende verantwoordelijkheid voor de uitvoering, blijft de eindverantwoordelijkheid liggen bij de ketenverantwoordelijke Comply or Explain principe De oplossingen en normen in deze baseline zijn van het type comply or explain. Dit betekent dat elke partij waarop deze baseline van toepassing is dient te voldoen (comply), maar ook de mogelijkheid bestaat een comply status te verwerven middels een explain. Dit zou zich kunnen voordoen als een partij: - voor een andere (vergelijkbare) operationele invulling kiest (met hetzelfde effect), mits beargumenteerd en goedgekeurd - niet (volledig) voldoet, mits beargumenteerd en goedgekeurd 9 van 68

10 Dit onderwerp raakt sterk aan het gebruik van deze baseline en handhaving. Deze onderwerpen zijn van belang, maar buiten de scope van dit document Basis niveau Operationalisering van deze baseline leidt tot het realiseren van het basis beveiligingsniveau (zie [tnkdwr]. Het realiseren van een hoger niveau door meer of zwaardere maatregelen is toegestaan mits deze de interoperabiliteit niet schaden. 1.6 Bronnen De oplossingen en normen in dit document, zijn afgeleid van de door departementen in de loop van de tijd opgebouwde en hier ingebrachte expertise en ervaring (best practices). Tenzij anders aangegeven, is dit waar de eisen of normen hun oorsprong vinden. Vanzelfsprekend is dit document slechts een momentopname en zal daarom continue op de zich veranderende praktijk en situatie moeten worden afgestemd. 1.7 Samenhang met andere documenten Het Tactisch Normenkader Beveiliging DWR [tnkdwr] vormt de basis voor deze operationele baseline, waarbij de patronen in dit document een uitwerking op operationeel niveau vormen van tactische eisen uit het normenkader. Leveranciers van ICT-voorzieningen voor DWR zijn gehouden om aan de eisen in beide documenten te voldoen. Naast het tactisch normenkader heeft het GOUD document Operationele technische beveiliginsmaatregelen GOUD 0.91 als basis gediend voor dit document. De vastgestelde versie van dit document vervangt het genoemde GOUD document. Het Implementatie Ontwerp Compartimentering DWR [implcomp] geeft ontwerprichtlijnen en aanbevelingen voor de realisatie van compartimenten. Compartimentering is een vorm van zonering op netwerkniveau en één van de beveiligingsmaatregelen die wordt voorgesteld in deze operationele baseline. Compartimentering dient zowel te worden toegepast door leveranciers van DWR-voorzieningen, als door de departementen die de DWR-voorzieningen afnemen. Bij de eerste doelgroep moet het implementatie-ontwerp compartimentering worden gezien als een aanvulling op deze operationele baseline. Bij de tweede doelgroep maakt het onderdeel uit van de aansluitvoorwaarden van DWR waaraan de afnemende departementen van bepaalde diensten moeten voldoen. Het Normenkader Informatiebeveiliging Rijksweb [nir] bevat de normen voor het waarborgen van een adequaat niveau van beveiliging van Rijksweb (nu DWR). De normen zijn gericht op informatiebeveiliging en geformuleerd op tactisch niveau en gebaseerd op het niveau WBP risicoklasse 2. Het tactisch normenkader en de operationele baseline DWR overlappen het [nir] en zullen op termijn geconsolideerd worden binnen bredere consolidatieslag t.a.v. IB normenkaders. 10 van 68

11 Het Normenkader Mobiele Informatiedragers Rijksoverheid [mdd] vormt een interdepartementaal normenkader voor beveiliging van en veilige omgang met mobiele informatiedragers. Het tactisch normenkader en de operationele baseline DWR gaan uit van genoemde normenkader. Voor normen t.a.v. mobiele informatiedragers,wordt naar [mdd] verwezen. 1.8 Leeswijzer In Hoofdstuk 2 wordt de architectuur van DWR beschouwd vanuit beveiligingsperspectief. Daarbij wordt een beschouwingsmodel gepresenteerd dat relevante beveiligingsdomeinen onderscheidt, en wordt de rol van zonering en compartimentering verder uitgewerkt. Ook worden de DWR-voorzieningen benoemd die nu worden voorzien. Hoofdstuk 3 vormt de hoofdmoot van het document. Hier worden de operationele beveiligingseisen en richtlijnen uitgewerkt. Iedere paragraaf behandelt een patroon. In de hoofdstukken 4, 5, en 6 worden respectievelijk referenties, afkortingen en gebruikte begrippen opgesomd en verklaard. Bijlage A tenslotte geeft aan welke patronen van toepassing kunnen zijn op bepaalde DWR objecten. 11 van 68

12 2 Architectuur DWR Dit hoofdstuk geeft het gehanteerde beschouwingsmodel DWR zoals dat gebruikt is voor invulling van beveiligingsmaatregelen voor de operationele baseline. Dit model dient op periodieke basis te worden getoetst aan de daadwerkelijke inrichting van DWR. Bij een mismatch zal waar nodig bijstelling van het beschouwingsmodel en de operationele baseline nodig zijn. 2.1 Beveiligingsdomeinen Figuur 2 Beschouwingsmodel Voor DWR kan een beschouwingsmodel op basis van beveiligingsdomeinen worden opgesteld zoals geschetst in Figuur 2, zie [implcomp]. Er is hierbij een aantal beveiligingsdomeinen te onderscheiden. Het externe domein wordt vanuit de Rijksdienst als onvertrouwd gezien. Dit omvat Internet en externe partijen met een onbekend beveiligingsniveau. Het publieke sector domein is voor de Rijksdienst ook extern maar partijen hierin zijn mogelijk semi-vertrouwd wanneer zij zich conformeren aan bijvoorbeeld NORA [nora], WBP [wbp], ISO27002 [cvib], e.d. Het Rijksdienst beveiligingsdomein omvat organisaties die het VIR [vir] (en soms ook VIR-BI [virbi]) hanteren. In dit domein heeft elke organisatie zijn eigen organisatiebeveiligingsdomein en beschouwen partijen elkaar normaliter als extern maar soms als semi-vertrouwd aangezien er 12 van 68

13 meer zekerheid is over het beveiligingsniveau dan bij partijen uit het externe domein. Binnen het Rijksdienst beveiligingsdomein is het DWR beveiligingsdomein te onderkennen dat bestaat uit organisaties die zich conformeren aan het tactisch normenkader informatiebeveiliging DWR [tnkdwr]. Op basis hiervan kunnen organisaties in dit domein zich op het vlak van de DWR ICTvoorzieningen (Rijkssamenwerkingsmogelijkheden) zien als vertrouwd. Binnen het DWR beveiligingsdomein valt ook dat deel (het DWR VPN) dat gebruikt wordt voor realiseren van de connectiviteit tussen de diverse organisaties binnen DWR (departementen, centrale DWR diensten). 2.2 Zonering en compartimentering Beveiligingsdomeinen worden bepaald door aspecten zoals de betrokken organisatie(s), onderlinge vertrouwensniveaus, wet- en regelgeving die van toepassing is, etc. Met betrekking tot de concrete inrichting van ICT-voorzieningen (de scope van deze operationele baseline) wordt ook wel het begrip zone gehanteerd. Een zone is hierbij gedefinieerd als een logische clustering van componenten (systemen, netwerken, diensten) die een vergelijkbaar security profiel hebben en veelal vallen onder de verantwoordelijkheid van één enkele organisatie; een groepering van objecten met vergelijkbare risico s, vertrouwensniveaus, of beveiligingsbehoeften e.d. Zonering kan worden toegepast op verschillende niveaus: netwerk, applicaties, fysieke ruimten, etc. Tussen zones vindt gecontroleerde uitwisseling van informatie plaats via zogenaamde beveiligde koppelvlakken. De mate van controle houdt verband met het vertrouwensniveau dat bepaald is tussen de zones. In het [tnkdwr] is in dergelijke situaties zonering gesteld als eis. Een zone op het netwerkniveau is nog verder op te delen in compartimenten. Een zone kan zelfs ook een enkel compartiment zijn. Voor GOUD en DWR is een compartimenteringsmodel opgezet en de implementatie hiervan vastgelegd in [implcomp]. Compartimentering kan worden gebruikt voor het inrichten van beveiligde koppelvlakken maar is op zichzelf hiervoor niet voldoende aangezien het beperkt is tot het netwerkniveau. De compartimentering zelf is buiten scope van dit document. Dit document en het document Implementatie ontwerp Compartimentering DWR zijn echter onlosmakelijk met elkaar verbonden. 2.3 DWR objecten De DWR ICT-voorzieningen waar dit beveiligingsdocument op van toepassing is, kunnen worden onderverdeeld in drie verschillende niveaus van objecten: 1. Diensten, geleverd door dienstleveranciers (DL); 2. Systemen, geleverd door systeemleveranciers (SL); 3. Netwerken, geleverd door netwerkleveranciers (NL). De rollen van dienstleverancier, systeemleverancier en netwerkleverancier kunnen worden ingevuld door een departement zelf, maar ook door SSO of externe leveranciers. Dienst objecten omvatten diensten op applicatieniveau die geleverd worden ten behoeve van DWR. De beschouwde diensten voor de operationele baseline zijn vooralsnog: DWR-Portaal, een rijksbreed intranet van waaruit informatie en applicaties worden ontsloten. 13 van 68

14 Samenwerkingsfunctionaliteit (SWF), hiermee kunnen groepen gebruikers on-line samenwerken. RijksDNS, de centrale voorziening voor DNS (zowel richting Internet als intranet) RijksDirectory, de rijksbrede Directory Service die gevoed wordt met informatie vanuit de departementale Directory Services. RijksMail, de geconsolideerde voorziening voor de Rijksdienst waarbij alle gebruikers een adres krijgen eindigend Rijks-mail voorziet in het bieden van functionaliteit zowel tussen departementen (binnen DWR) als met partijen buiten de rijksoverheid. Rijks-Internet, de centrale voorziening voor leveren van Internet connectiviteit. Rijks-Connect, de dienst die zorgt voor een veilige en betrouwbare koppeling van netwerken tussen overheden en externe leveranciers. Rijks-NTP, tijdsdienst die gebruikt kan worden door systemen binnen de overheid voor tijdssynchronisatie. Systeem objecten omvatten: Desktops, computersystemen die zijn ingericht als DWR-Client voor eindgebruikers van DWR. Desktop systemen staan vast opgesteld bij een organisatie. Laptops, computersystemen die zijn ingericht als DWR-Client voor eindgebruikers van DWR. Laptops zijn veelal persoonsgebonden, zijn niet altijd met een netwerk verbonden en worden niet altijd alleen binnen een gebouw van de organisatie gebruikt. Servers, computersystemen die specifiek ingericht zijn voor het (deels) leveren van DWR diensten. Randapparatuur zoals printers, MFCs, en PDA/MDAs. Netwerk objecten omvatten: DWR-Infra, dit bevat de verschillende departementale netwerksegmenten die voor DWR gebruikt worden, alsook het interdepartementale netwerksegment en de koppelingen daartussen. Het interdepartementale netwerksegment is een centraal netwerk waarin interdepartementale diensten worden aangeboden. Rijksweb VPN, externe koppeling naar organisaties die op Rijksweb zijn aangesloten. 14 van 68

15 3 Beveiligingseisen en richtlijnen Dit hoofdstuk bevat de uitwerking van het tactisch normenkader in patronen. Er wordt geen volledigheid in het aantal patronen gepretendeerd. Het aantal is uitbreidbaar, voor deze versie zijn de voor de Rijksdienst en implementatie van DWR meest belangrijke patronen uitgewerkt. Voor de volledigheid wordt nog vermeld dat de uitwerking in de operationele baseline zich beperkt tot technische maatregelen. Fysieke en procedurele maatregelen zijn buiten beschouwing gelaten. Zoals toegelicht in 1.5.1, is gekozen voor gebruik van IB-patronen om de beveiligingsmaatregelen te structureren en toepasbaarder te maken. Een patroon bestaat uit de volgende onderdelen: Rationale. De rationale beschrijft vanuit welk oogpunt het patroon is opgezet. Dit is vaak een probleem dat kan worden opgelost door middel van de normen en richtlijnen in het patroon. Context. De context schetst de omgeving waarop het patroon van invloed is. Dit dient ook om duidelijk te maken wat wel binnen de scope van het patroon valt en wat niet. Oplossing. De oplossing schetst hoe het probleem beschreven in de context kan worden opgelost. Bij elke oplossing wordt aan de hand van een figuur aangegeven hoe de oplossing op hoofdlijnen werkt, wat de beveiligingsfuncties zijn die worden ingevuld en welke beveiligingsmechanismen daarvoor gebruikt worden. Normen. De normen omvatten de lijst van operationele eisen die invulling geven aan de oplossing. Per norm is aangegeven of ze voor de Dienstleverancier (DL), Systeemleverancier (SL) of Netwerkleverancier (NL) van toepassing zijn. Een norm is altijd bindend. Relatie. De relatie met de tactische normen. 15 van 68

16 3.1 Patroon Generieke netwerkconfiguratie Rationale: De netwerkomgeving maakt communicatie tussen verschillende onderdelen van DWR mogelijk. Er is sprake van een netwerkketen, dit betekent dat het niveau van beveiliging van de individuele schakels invloed kan hebben op dat van andere schakels. Dit patroon beschrijft daarom de generieke maatregelen die genomen moeten worden in de netwerkinfrastructuur om de meest voorkomende risico s te verminderen Context: Figuur 3 Netwerken binnen DWR De netwerkinfrastructuur van DWR, zie Figuur 3, maakt de communicatie tussen de DWR systemen mogelijk. Om deze communicatie te beveiligen wordt gebruik gemaakt van koppelvlakken tussen de verschillende objecten. Op de koppelvlakken wordt in de volgende patronen ingegaan. Het backend netwerk bestaat uit verschillende netwerkelementen, van routers en switches tot netwerkkabels en firewalls. Hoe deze dienen te worden gebruikt en ingericht staat in dit patroon beschreven. Het feit dat netwerkbeheer binnen DWR ondergebracht is onder een aantal verschillende partijen (denk aan de Haagse Ring, de departementaal beheerde netwerken, de netwerken die door de SSO worden beheerd en het netwerk in de hosting omgeving) benadrukt het belang van een gezamenlijk gedragen beveiligingsniveau: Een ketting is zo sterk als zijn zwakste schakel. 16 van 68

17 3.1.3 Oplossing Netwerk Lokaal netwerk WAN Zonering Identificatie, Authenticatie, Autorisatie Zonering Hardening Continuïteitsvoorzieningen Controle Alarmering Rapportering Logische scheiding Netwerk toegangscontrole Compartimentering Geen overbodige applicaties/ services Patching Redundantie: Fail-over Standby Geen SPoF Tijdssynchronisatie Logging Figuur 4 Patroon netwerkconfiguratie Figuur 4 schetst de IB-functies en mechanismen van het patroon voor netwerkconfiguratie. De netwerkconfiguratie is gericht op waarborgen van integriteit en beschikbaarheid van de netwerkinfrastructuur. Daartoe dient het netwerk gescheiden (ten minste logisch) te zijn van andere niet relevante netwerken (zoals bijvoorbeeld een testomgeving). Het netwerk dient hoog beschikbaar te zijn (99,5% of hoger), eventueel te bereiken door redundantie, automatische failover, etc. Bij toepassing van redundantie zijn er geen Single Points of Failure. Het netwerk dient alleen te bestaan uit geautoriseerde componenten en het netwerk dient afgeschermd te zijn zodat het niet mogelijk is om willekeurige apparatuur aan te sluiten. Voor de toegang tot de netwerkcomponenten dient authenticatie plaats te vinden. Daarnaast is de integriteit van de netwerkcomponenten gebaat bij hardening. Om de beschikbaarheid te bewaken dient signalering plaats te vinden bij performance problemen van componenten. Tot slot is ongeautoriseerde toegang tot het netwerk niet mogelijk. Bijvoorbeeld door fysieke maatregelen (toegang tot ruimten met netwerktoegang), technische maatregelen zoals 801.1X of Network Access Control (NAC), of procedurele maatregelen in combinatie met minimaal port-security of dynamische VLAN toewijzing Operationele normen: Zonering 1. (NL): HET NETWERK DIENT MINIMAAL LOGISCH GESCHEIDEN TE ZIJN VAN ANDERE NIET-RELEVANTE NETWERKEN (WAARONDER ONTWIKKEL, TEST EN ACCEPTATIE NETWERKEN). 2. (NL): BIJ TOEPASSING VAN ONTWIKKEL,TEST EN/OF ACCEPTATIE NETWERKEN WORDEN DEZE MINIMAAL LOGISCH GESCHEIDEN VAN HET PRODUCTIE NETWERK. 3. (NL): INTERN DATAVERKEER GETRANSPORTEERD OVER ONVERTROUWDE NETWERKEN DIENT TE WORDEN VERSLEUTELD. 17 van 68

18 4. (NL): ER IS EEN MINIMAAL LOGISCH GESCHEIDEN NETWERK DAT VOOR BEHEERDOELEINDEN WORDT GEBRUIKT. Identificatie, authenticatie, autorisatie 5. (SL): ALLEEN DOOR NETWERKBEHEER GEAUTORISEERDE NETWERKAPPARATUUR WORDT TOEGEPAST BINNEN HET DWR NETWERK. 6. (NL): DE NETWERKINFRASTRUCTUUR ONDERSTEUNT 802.1X - PORT BASED NETWORK ACCESS CONTROL PROTOCOL. 7. (NL): ONGEAUTORISEERDE TOEGANG TOT HET NETWERK IS NIET MOGELIJK. DIT KAN VIA TECHNIEK (802.1X, NAC) MAAR OOK VIA FYSIEKE MAATREGELEN (TOEGANG TOT DE RUIMTEN MET NETWERKTOEGANG) OF VIA PROCEDURES IN COMBINATIE MET MINIMAAL PORT-SECURITY. Hardening 8. (NL): ALLE NETWERKCOMPONENTEN MOETEN ZIJN GEHARDENED, D.W.Z. DAT ER GEEN OVERBODIGE DIENSTEN OP DRAAIEN EN DAT ALLE SOFTWARE UP-TO-DATE IS. 9. (NL): ER WORDT VOOR DE NETWERKELEMENTEN GEBRUIK GEMAAKT VAN STANDAARD ALGORITMEN, MINIMAAL AES 128 OF GELIJKWAARDIG, DIE ROBUUST ZIJN TEGEN MISBRUIK. 10. (NL): DAAR WAAR MOGELIJK WORDEN PRODUCTEN GEBRUIKT DIE VOLGENS EEN INTERNATIONAAL GEACCEPTEERDE STANDAARD/ORGANISATIE GEËVALUEERD ZIJN. DE COMMON CRITERIA EVALUATIES ZIJN HIERBIJ EEN GOED UITGANGSPUNT. Continuïteitsvoorzieningen 11. (NL): HET NETWERK DIENT VOOR DWR GEBRUIKERS EEN MINIMALE BESCHIKBAARHEID TOT DE KRITISCHE SERVERS (AD/DC) TE BIEDEN VAN MINIMAAL 99,5%. 12. (NL) DE NETWERK COMPONENTEN DIENEN GEBRUIK TE MAKEN VAN EEN EN DEZELFDE TIJDBRON (NTP), NAMELIJK DE TIJD VAN DE HAAGSE RING (NTP SERVICE). Controle, Alarmering, Rapportering 13. (NL): DE NETWERKCOMPONENTEN STUREN LOGINFORMATIE M.B.T. PERFORMANCE NAAR EEN LOGSERVER WAARDOOR BESCHIKBAARHEIDSPROBLEMEN TIJDIG WORDEN GESIGNALEERD. 14. (NL): ALLE NETWERKKOPPELINGEN WORDEN VASTGELEGD EN ZIJN VOOR GEAUTORISEERDE GEBRUIKERS INZICHTELIJK. 15. (NL): DE NETWERKHARDWARE ZOALS ROUTERS EN SWITCHES DIENEN CENTRAAL WACHTWOORDMANAGEMENT TE ONDERSTEUNEN, ZODAT WACHTWOORDEN VANAF EEN CENTRAAL PUNT GEWIJZIGD KUNNEN WORDEN. Interoperabiliteit/beheer 16. (NL): HET MOET MOGELIJK ZIJN OM VERSLEUTELDE INFORMATIE OVER HET NETWERK TE VERSTUREN Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Redundante uitvoering componenten Redundante uitvoering verbindingen Geen Single Point of Failure (SpoF) bij redundantie Locatie-onafhankelijkheid Automatische opvang van uitval Gegevensencryptie Versleuteling Gebruik standaard algoritmen Gebruikt robuuste algoritmen Scheiding naar doel Geen beïnvloeding OTA & P Fysieke zone scheiding 18 van 68

19 4.1.7 Eigen zone beheer Hardening Vastlegging koppelingen Beschermen continuïteit 19 van 68

20 3.2 Patroongroep Koppelvlakken Rationale: DWR heeft koppelingen met andere netwerken, dit zijn zowel onvertrouwde (bijvoorbeeld koppelingen aan netwerken waar ook externe partijen op zijn aangesloten) als vertrouwde (bijvoorbeeld koppeling van het departementaal deel van DWR aan het centraal deel van DWR) netwerken. Computersystemen kunnen kwetsbaar zijn voor netwerkgebaseerde aanvallen. Het gebruik van een koppelvlak bij het koppelen van netwerken zorgt ervoor dat de koppeling geen afbreuk doet aan het algehele beveiligingsniveau van DWR. Door gebruik van een koppelvlak zijn de systemen binnen een netwerk afgeschermd en kan het risico van netwerkgebaseerde aanvallen worden verlaagd terwijl de systemen wel op een beheerbare en functionele manier worden ontsloten. De wijze van inrichting van het koppelvlak hangt af van de mate waarin het andere netwerk vertrouwd wordt en de informatie die wordt uitgewisseld. Koppeling met Internet verdient speciaal de aandacht omdat een Internetverbinding door iedereen gebruikt kan worden om een communicatieverbinding met DWR systemen op te zetten. Daarom is het van belang dat dit verkeer geïnspecteerd en gefiltert wordt op mogelijke dreigingen. Hierdoor kan de integriteit en beschikbaarheid van de DWR systemen worden verhoogd. Daarnaast gaat ook verkeer vanuit DWR naar het Internet; ook hierbij is het van belang dat ongewenst verkeer (denk aan wormen, virussen, maar ook aan specifieke aanvallen) gefilterd wordt om imagoschade te voorkomen. 20 van 68

21 3.2.2 Context: Heteronome omgeving (DWR standaard) Rijks-Internet Rijke samenwerkingsmogelijkheden Rijks-DNS Rijks-Connect Organisatie DWR VPN Haagse Ring BKN Organisatie Mail Relay Rijksweb VPN Organisatie Etalage (DMZ) Autonome omgeving (pre DWR situatie) Beperkte samenwerkingsmogelijkheden 1 1 Etalage (DMZ) Organisatie Autonome omgeving (pre DWR situatie) Beveiligd autonoom koppelvlak Beveiligd heteronoom transit koppelvlak Beveiligd heteronoom compartimentskoppelvlak Internet Figuur 5 Koppelvlakken binnen DWR Figuur 5 geeft de verschillende netwerkomgevingen die kunnen worden onderscheiden binnen DWR en de koppelvlakken daartussen. De netwerkarchitectuur voor DWR is op het laagste niveau onderverdeeld in verschillende compartimenten volgens [implcomp]. Elk type compartiment (kluis, kamer, lounge) heeft een eigen beveiligingsniveau, waarbij een kluis-compartiment het meest restrictief is en een loungecompartiment het minst. Door het netwerk onder te verdelen in compartimenten wordt het beheer eenvoudiger: filter-regels worden bijvoorbeeld niet meer gebaseerd op individuele systemen maar op compartimenten. Daarnaast zorgt een gemeenschappelijke netwerkzonering (elk departement gebruikt dezelfde methodiek) er voor dat de samenhang en compatibiliteit optimaal is waardoor er minder problemen voor de beschikbaarheid te verwachten zijn. Koppelvlakken voor compartimenten zijn in Figuur 5 aangegeven met cijfer 3. De netwerkarchitectuur voor DWR is op te splitsen in departementale netwerkzones en een centrale netwerkzone. Hoewel in principe het beveiligingsniveau identiek is, omdat overal dezelfde beveiligingsmaatregelen genomen worden, is ook hier een koppelvlak nodig; niet zozeer voor preventie van incidenten maar voor de detectie ervan. Dit maakt het achterhalen van de bron en oorzaak van (beveiligings-) incidenten eenvoudiger, waardoor problemen sneller opgelost kunnen worden en het beveiligingsniveau gehandhaafd blijft. Koppelvlakken voor vertrouwde netwerken zijn aangegeven met cijfer van 68

22 Koppelvlakken voor onvertrouwde netwerken zijn aangegeven met cijfer 1. Deze koppelvlakken koppelen de netwerkarchitectuur voor DWR aan niet-dwr partijen. Dit zijn partijen die niet aan de beveiligingsmaatregelen (hoeven te) voldoen die wel aan DWR partijen worden gesteld. Om ervoor te zorgen dat het risico op beveiligingsincidenten die door deze koppeling wordt veroorzaakt tot een acceptabel niveau wordt teruggebracht moeten maatregelen getroffen worden. De inrichting van de koppelvlakken aan de hand van patronen is hierna uitgewerkt voor 3 verschillende varianten: 1. Beveiligd koppelvlak voor onvertrouwde netwerken 2. Beveiligd koppelvlak voor vertrouwde netwerken 3. Beveiligd koppelvlak voor compartimenten 22 van 68

23 3.3 Subpatroon Beveiligd koppelvlak voor onvertrouwde netwerken Oplossing DWR deelnemer A Onvertrouwd netwerk Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 1 Firewall ACL Content scanning Proxy Redundantie: Fail-over Standby Geen SPoF IDS / IPS Log server Figuur 6 Subpatroon beveiligd koppelvlak voor onvertrouwde netwerken Figuur 6 toont de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor onvertrouwde netwerken. Om de integriteit en vertrouwelijkheid van computersystemen in een netwerk zoveel mogelijk te waarborgen wanneer gekoppeld wordt met een onvertrouwd netwerk wordt zonering toegepast door middel van een beveiligd koppelvlak. De afscherming van de computersystemen binnen het netwerk vindt plaats door filtering toe te passen in het koppelvlak van het netwerk. Aangezien gekoppeld wordt met een onvertrouwd netwerk, is de filtering vooral gericht op het alleen doorlaten van vereiste verkeersstromen en grondig inspecteren van doorgelaten verkeersstromen. Voor binnenkomende verkeersstromen is de doelstelling primair de integriteit van de eigen computersystemen. Voor uitgaande verkeersstromen is de doelstelling primair de vertrouwelijkheid (tegengaan van onbedoeld weglekken van informatie). De filtering kan worden uitgevoerd door een firewall en contentscanner die geplaatst zijn in het koppelvlak. De filtering bestaat uit content- en virusscanning van al het verkeer door het koppelvlak. Daarnaast is voor detectie van netwerk gebaseerde aanvallen een IDS (Intrusion Detection System) of IPS (Intrusion Prevention System) in te richten. Rechtstreekse verbinding tussen systemen binnen het productie netwerk en systemen binnen het onvertrouwde netwerk wordt voorkomen door de inzet van bijvoorbeeld proxy s, etc. Informatie met betrekking tot de filtering dient te worden gelogd en indien urgent te worden gekoppeld aan alarmering. Dit ten behoeve van controle, alarmering en rapportering Operationele normen: Filtering 1. (NL): ALLEEN GEAUTORISEERD DATAVERKEER WORDT TOEGESTAAN DOOR HET KOPPELVLAK. 2. (NL): NETWERKVERKEER WORDT GECONTROLEERD OP DE AANWEZIGHEID VAN MALWARE ZOALS VIRUSSEN, WORMEN, SPYWARE, E.D. 23 van 68

24 3. (NL): EEN APPLICATION LEVEL FIREWALL CONTROLEERT OP DE JUISTE SYNTAX EN FORMAT VAN DE INFORMATIE, EN BLOKKEERT ONGELDIGE DATASTROMEN. DENK HIERBIJ AAN SSH VERKEER DAT VIA POORT 80 WORDT VERSTUURD. 4. (NL): EEN ANOMALY BASED DETECTION/PREVENTION SYSTEEM ZORGT VOOR CONTROLE OP NETWERK-GEBASEERDE AANVALLEN. 5. (NL): RECHTSTREEKSE VERBINDING TUSSEN SYSTEMEN BINNEN HET PRODUCTIE NETWERK EN SYSTEMEN IN HET ONVERTROUWDE NETWERK WORDEN VOORKOMEN. Continuïteitsvoorzieningen 6. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 7. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 8. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. Deze eisen vloeien mede voort uit het Rijkswebdocument Beveiligde koppeling in- en externe partijen [RWB-005] Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak Uitgebreide restricties Automatische malware-controle Automatische syntax-controle Automatische format-controle 24 van 68

25 3.4 Subpatroon Beveiligd koppelvlak voor vertrouwde netwerken Oplossing DWR deelnemer A DWR deelnemer B Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 2 Firewall ACL Redundantie: Fail-over Standby Geen SPoF IDS / IPS Log server Figuur 7 Subpatroon beveiligd koppelvlak voor vertrouwde netwerken Figuur 7 schetst de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor vertrouwde netwerken. Om de integriteit van computersystemen in een netwerk zoveel mogelijk te waarborgen kan zonering worden toegepast door middel van een beveiligd koppelvlak. De afscherming van de computersystemen binnen een netwerk vindt dan plaats door filtering toe te passen in het koppelvlak van het netwerk. Aangezien het koppeling van vertrouwde netwerken betreft, is de filtering vooral gericht op detectie van mogelijke problemen en wordt in principe verkeer door het koppelvlak niet geblokkeerd of gewijzigd. Daarnaast is voor detectie van netwerk gebaseerde aanvallen een IDS (Intrusion Detection System) in te richten. Informatie met betrekking tot de filtering dient te worden gelogd en indien urgent te worden gekoppeld aan alarmering Operationele normen: Filtering 1. (NL): DE GEAUTORISEERDE DATASTROMEN DIE DOOR HET KOPPELVLAK GAAN WORDEN NIET GEBLOKKEERD OF GEWIJZIGD. 2. (NL): ALLEEN COMPARTIMENTEN DIE BEREIKBAAR MOETEN ZIJN, MOGEN BEREIKBAAR ZIJN. 3. (NL): EEN ANOMALY BASED DETECTION/PREVENTION SYSTEEM ZORGT VOOR CONTROLE OP NETWERK-GEBASEERDE AANVALLEN. Continuïteitsvoorzieningen 4. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 1. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 2. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. 25 van 68

26 3.4.3 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak Automatische syntax-controle Automatische format-controle 26 van 68

27 3.5 Subpatroon Beveiligd koppelvlak voor compartimenten Oplossing Compartiment A Compartiment B Zonering Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 3 Logische / fysieke scheiding Firewall ACL Redundantie: Fail-over Standby Geen SPoF Log server Figuur 8 Subpatroon beveiligd koppelvlak voor compartimenten Figuur 8 toont de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor compartimenten. Om de integriteit van computersystemen zoveel mogelijk te waarborgen kan zonering op netwerkniveau worden toegepast door middel van compartimentering. De afscherming van de computersystemen binnen een compartiment vindt dan plaats door filtering toe te passen in het koppelvlak van het compartiment. Deze filtering reguleert het netwerkverkeer naar het compartiment. De filtering kan worden uitgevoerd door een firewall die geplaatst is in het koppelvlak. Met filtering in het koppelvlak wordt bereikt dat filtering op een centraal punt plaatsvindt (beheerbaar en controleerbaar) en buiten de betrokken computersystemen. Dit in tegenstelling tot bijvoorbeeld een andere mogelijke oplossing waarbij de filtering wordt toegepast in de computersystemen zelf (gedistribueerde firewall) Operationele normen: Zonering 1. (NL): COMPARTIMENTEN ZIJN FYSIEK EN/OF LOGISCH VAN ELKAAR GESCHEIDEN. 2. (NL/DL): EEN COMPARTIMENT BEVAT ALLEEN SYSTEMEN DIE TOT DEZELFDE O, T, A OF P-GROEP BEHOREN. 3. (DL): DE SYSTEEMEIGENAAR BEPAALT IN WELK TYPE COMPARTIMENT ZIJN SYSTEEM WORDT GEPLAATST. 4. (DL): PERIODIEK (MINIMAAL JAARLIJKS) CONTROLEERT DE SYSTEEMEIGENAAR OF ZIJN SYSTEEM IN HET JUISTE TYPE COMPARTIMENT STAAT. Filtering 5. (NL): TUSSEN COMPARTIMENTEN WORDT EEN INSTELBAAR FILTER GEBRUIKT IN HET KOPPELVLAK, DAT DE RESOURCES BINNEN EEN COMPARTIMENT BESCHERMT (ALLEEN GEAUTORISEERDE DATAVERKEERSTROMEN TOESTAAT), EN EVENTUEEL BESCHIKBAAR STELT AAN EEN ANDER COMPARTIMENT. 6. (NL): FILTERING OP BASIS VAN HERKOMST WORDT MINIMAAL GEBASEERD OP COMPARTIMENTSNIVEAU 27 van 68

28 7. (NL): EEN COMPARTIMENT HEEFT EEN VASTGESTELD BEVEILIGINGSNIVEAU, DAT BESTAAT UIT DE GEAUTORISEERDE VERKEERSSTROMEN NAAR DE SYSTEMEN IN DAT COMPARTIMENT. Continuïteitsvoorzieningen 8. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 9. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 10. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. Voor de specifieke invulling van de compartimenten en de toegestane informatiestromen per compartiment wordt verwezen naar het [implcomp] Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak 28 van 68

29 3.6 Patroongroep Systemen Rationale: De servers en werkplekken worden binnen DWR gebruikt om toegang tot de DWR diensten en applicaties mogelijk te maken. Werkplekken en servers zijn als er niet afdoende maatregelen worden genomen o.a. kwetsbaar voor besmetting (malware), ongeautoriseerde toegang en dataverlies (bij bijvoorbeeld diefstal of inbraak). Om deze diensten, applicaties en de informatie die op de werkplek verwerkt wordt, te beschermen moeten er maatregelen getroffen worden op de servers en werkplekken Context: Figuur 9 Systemen binnen DWR Figuur 9 toont de verschillende systemen die zijn te onderscheiden binnen DWR. De werkplekken staan opgesteld bij de aangesloten departementen. Het is mogelijk om vanuit een werkplek toegang te krijgen tot de DWR diensten en applicaties, maar ook tot departementale diensten en applicaties die niet in DWR worden aangeboden. Een voorbeeld hiervan is wat nu nog buiten DWR valt. Bij de werkplekken is er onderscheid in vaste werkplekken en mobiele werkplekken. Mobiele werkplekken kunnen ook gebruikt worden buiten het departement en zonder netwerktoegang. De diensten en applicaties van DWR worden geïnstalleerd op server systemen, die via het netwerk aan elkaar en de werkplekken verbonden zijn. Servers kunnen departementaal en centraal (in de back-end) worden geplaatst. De configuratie van de systemen aan de hand van patronen is hierna uitgewerkt in een generieke systeemconfiguratie geldend voor alle systemen en generieke configuraties voor de onderscheiden typen systemen binnen DWR: 1. Generieke werkplekconfiguratie (vaste werkplek) 29 van 68

30 2. Generieke werkplekconfiguratie (mobiele werkplek) 3. Generieke serverconfiguratie Niet alle relevante beveiligingsaspecten zijn in de subpatronen verwerkt; er is voor gekozen om bepaalde maatregelen te groeperen in specifieke patronen, zoals: Patroon Generieke applicatieconfiguratie (Programma-controles) Patroon Authenticatie/Autorisatie (IAA) Patroon Logging/Monitoring (Controle, alarmering, rapportering) Patroon Backup (Continuiteitsvoorzieningen) Fysieke maatregelen zijn niet in deze baseline uitgewerkt. Voldoen aan de eisen hiervoor uit het Tactisch Normenkader zou voldoende moeten zijn, en niet tot implementatie- of interoperabiliteitsproblemen moeten leiden. 30 van 68

31 3.7 Subpatroon Generieke systeemconfiguratie Oplossing Werkplek / Server (generiek) Hardware Besturingssysteem Systeembeveiliging Functie Identificatie, Authenticatie, Autorisatie Hardening Filtering Identificatie, Authenticatie, Autorisatie Continuïteitsvoorzieningen BIOS wachtwoord Geen overbodige applicaties/ services Patching Antimalware Unieke identiteit Gebruikersauthenticatie Functieherstel voorzieningen (backup, restore, standby, spare) Figuur 10 Subpatroon generieke systeemconfiguratie Figuur 10 schetst de IB-functies en mechanismen voor het subpatroon generieke systeemconfiguratie. Dit subpatroon is van toepassing op zowel alle servers als alle werkplekken. Systeemconfiguratie is primair gericht op de integriteit van het betreffende systeem. Dit is te bereiken door het systeem te hardenen en periodiek dan wel real-time te filteren op virussen en malware. Om het risico van malware te beperken (zonder grote performance impact op de werkplek) kan defense-in-depth worden toegepast door op servers op een andere wijze te scannen op malware en virussen dan op de werkplek. Daarnaast is authenticatie nodig voor het kunnen wijzigen van systeemconfiguraties Operationele normen: Identificatie, authenticatie, autorisatie 1. (SL): BIOS WACHTWOORDEN ZIJN VAN AFSTAND TE WIJZIGEN 2. (SL): HET IS MET GEBRUIKERSACCOUNTS NIET MOGELIJK AUTOMATISCH IN TE LOGGEN (AUTO LOGON), ALLEEN SYSTEEMPROCESSEN MET FUNCTIONELE ACCOUNTS MOGEN GEAUTOMATISEERD AANLOGGEN. 3. (DL): ER ZIJN GESCHEIDEN ACCOUNTS VOOR BEHEERTAKEN EN GEBRUIKERSTAKEN. 4. (DL): RECHTEN ZIJN GEKOPPELD AAN ROLLEN, DIE OP HUN BEURT ZIJN GEKOPPELD AAN GEBRUIKERS. OP DEZE MANIER WORDT HET BEHEER VAN RECHTEN VEREENVOUDIGD EN IS ER MINDER GEVAAR OP ONJUIST TOEGEWEZEN RECHTEN. 31 van 68

32 Hardening 5. (SL): BESTURINGSSYSTEMEN ZIJN GEHARDENED, D.W.Z. DAT ER GEEN OVERBODIGE DIENSTEN DRAAIEN EN GEEN OVERBODIGE APPLICATIES GEINSTALLEERD ZIJN, RECHTEN VAN GEBRUIKERSACCOUNTS ZIJN GEMINIMALISEERD, ALLE SOFTWARE IS UP-TO-DATE. 6. (SL): UPDATES OP BESTURINGSSYSTEMEN MOETEN EERST WORDEN GETEST IN EEN TESTOMGEVING OM TE CONTROLEREN OF DE JUISTE WERKING VAN DE DWR SYSTEMEN NIET WORDT BEÏNVLOED. 7. (SL): NA BEOORDELING ALS KRITISCH GETYPEERDE UPDATES/PATCHES DIE VAN EEN VERTROUWDE EN GEAUTORISEERDE BRON KOMEN WORDEN ZO SNEL MOGELIJK, DOCH UITERLIJK BINNEN ÉÉN WEEK TOEGEPAST. 8. (DL/SL): INDIEN VAN TOEPASSING DIENEN INSTELLINGEN OVERGENOMEN TE WORDEN UIT STANDAARDEN ZOALS NIST, ZOLANG DEZE NIET IN TEGENSPRAAK ZIJN MET NORMEN/RICHTLIJNEN UIT DEZE BASELINE. Filtering 9. (SL): OP ALLE SYSTEMEN IS EEN MALWARE SCANNER AANWEZIG; VOOR SERVERS GELDT DAT REAL- TIME SCANNING NIET VEREIST IS: SCANNING DIENT PERIODIEK PLAATS TE VINDEN. VOOR WERKPLEKKEN IS NAAST PERIODIEK SCANNING OOK REAL-TIME SCANNING VEREIST. 10. (SL): DE MALWARE SCANNER OP SERVERS IS ANDERS DAN DE MALWARE SCANNER OP WERKPLEKKEN OF BINNEN HET KOPPELVLAK (TWEE LAGENSTRUCTUUR): EEN ANDERE ENGINE EN ANDERE DEFINITIES. DIT OM TE VOORKOMEN DAT ER EEN AFHANKELIJKHEID IS VAN 1 MALWARE SCANNER- LEVERANCIER VOOR ACTUELE VIRUSDEFINITIES. 11. (SL): MALWARE PATTERNS/SIGNATURES DIE VAN EEN VERTROUWDE EN GEAUTORISEERDE BRON KOMEN WORDEN (NA BEOORDELING) ZO SNEL MOGELIJK, DOCH UITERLIJK BINNEN ÉÉN WEEK TOEGEPAST. 12. (DL/SL): NETWERKVERKEER DIENT MET EEN PERSONAL FIREWALL (MOGELIJK BINNEN HET OS) OF GELIJKWAARDIG TE WORDEN BEPERKT TOT EXPLICIET TOEGESTANE VERKEERSSTROMEN. Continuïteitsvoorzieningen 13. (SL): DE FUNCTIE VAN HET SYSTEEM DIENT HERSTELD TE KUNNEN WORDEN, OOK NA HET INSTALLEREN VAN UPDATES Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Scheiding tussen beheer en gebruik Rechten op basis van rollen Beperken communicatie tussen werkstations Automatisch aanmelden Minimaal aanbod van applicaties Gestandaardiseerd beheer Geen overbodige applicaties Minimale rechten toekennen Minimaal gebruik van administrator/root account Alleen legitieme updates Controle op updates/patches Instellingen voldoen aan productstandaards 32 van 68

33 3.8 Subpatroon Generieke werkplekconfiguratie (vaste en mobiele werkplek) Oplossing Vaste werkplek Vaste werkplek Hardware Besturingssysteem Systeembeveiliging Logische afscherming Zonering Hardening Filtering Identificatie, Authenticatie, Autorisatie Harddiskencryptie Gebruik van geautoriseerde opstartmedia Slechts koppeling op 1 netwerk Alleen noodzakelijke randapparatuur Zero footprint Anti-spyware Anti-phishing Unieke identiteit Gebruikersauthenticatie 1 Figuur 11 Subpatroon generieke werkplekconfiguratie (vaste werkplek) Figuur 11 schetst de IB-functies en mechanismen voor het subpatroon generieke werkplekconfiguratie (vast werkplek). De configuratie van de vaste werkplek is primair gericht op het waarborgen van integriteit en secundair van vertrouwelijkheid. Beschikbaarheid is minder belangrijk omdat de werkplekken feitelijk redundant zijn uitgevoerd en een gebruiker uit kan wijken naar een andere werkplek. Voor integriteit is het essentieel dat het risico van infectie door malware e.d. wordt beperkt door gebruik van virusscanners en de lokale firewall. Dit risico kan verder worden beperkt door in principe geen randapparatuur toe te staan en het opstarten van de werkplek dusdanig in te richten dat het voor een aanvaller vrijwel onmogelijk is om hiertussen te komen. Het risico van onbevoegde toegang tot de werkplek (d.w.z. niet de gebruiker zelf of een beheerder) dient te beperkt omdat naast de integriteit van de werkplek zelf ook die van het DWR netwerk in het geding is. De werkplek zou door een aanvaller kunnen worden gebruikt als opstap voor een aanval richting DWR netwerk. Een gebruiker zou zijn werkplek nooit onbeschermd achter moeten laten en moeten afsluiten of de werkplek locken. Omdat een gebruiker dit kan vergeten dient de werkplek ook automatisch te locken als deze een bepaalde tijd niet wordt gebruikt. Verder mag een werkplek fysiek slechts gekoppeld zijn aan één netwerk. De vertrouwelijkheid van de (gebruiker van de) werkplek kan worden gewaarborgd door de toegang tot de werkplek door een beheerder alleen toe te staan na toestemming van de gebruiker en door sterke authenticatie te eisen voor beheerders. Afhankelijk van de mate van fysieke afscherming van de werkplek kan nog gekozen worden om na gebruik geen informatie lokaal op de werkplek achter te laten (zero footprint principe) of deze informatie versleuteld op te 33 van 68

34 slaan. Hiermee heeft een aanvaller zelfs bij wegnemen van de werkplek geen inzage in informatie of de mogelijkheid de werkplek te manipuleren. Mobiele werkplek Mobiele werkplek Hardware Besturingssysteem Systeembeveiliging Logische afscherming Zonering Hardening Filtering Identificatie, Authenticatie, Autorisatie Harddiskencryptie Gebruik van geautoriseerde opstartmedia Slechts koppeling op 1 netwerk Alleen noodzakelijke randapparatuur Anti-spyware Anti-phishing Unieke identiteit Gebruikersauthenticatie 2 Figuur 12 Subpatroon generieke werkplekconfiguratie (mobiele werkplek) Error! Reference source not found. schetst de IB-functies en mechanismen voor het subpatroon generieke werkplekconfiguratie (mobiele werkplek). Deze verschilt niet van de vaste werkplek op het volgende na. Bij de mobiele werkplek is het risico vrij groot dat deze in vreemde handen komt (verlies, diefstal) terwijl het juist wel gewenst is dat lokaal op de werkplek informatie wordt opgeslagen (geen zero footprint principe voor de mobiele werkplek). Daarom dient de informatie op de werkplek lokaal versleuteld te worden opgeslagen. Hiermee heeft een aanvaller zelfs bij wegnemen van de werkplek geen inzage in informatie of de mogelijkheid de werkplek te manipuleren Operationele normen vaste werkplek: Hardening 1. (SL): ER MAG GEEN INFORMATIE OP HET WERKSTATION ZELF OPGESLAGEN WORDEN. INDIEN DIT NIET HAALBAAR IS EN ER TOCH DATA OP HET WERKSTATION OPGESLAGEN MOET WORDEN, MOET DE INFORMATIE VERSLEUTELD OPGESLAGEN WORDEN. 2. (SL): ER WORDT GESTREEFD NAAR HET ZERO-FOOTPRINT PRINCIPE OP DE VASTE WERKPLEKKEN. DIT PRINCIPE IS PRIMAIR GERICHT OP HET VOORKOMEN DAT KRITISCHE DATA OP DE WERKPLEK WORDT OPGESLAGEN MAAR WIL IN STRIKTE VORM OOK ZEGGEN DAT ER GEEN PROFIELEN LOKAAL WORDEN GECACHED, EN DAT TIJDELIJKE BESTANDEN PER DEFINITIE OP HET NETWERK WORDEN OPGESLAGEN Operationele normen mobiele werkplek: Logische afscherming 34 van 68

35 1. (SL): DE DATA OP DE HARDDISK MOET VERSLEUTELD WORDEN (VOLGENS HET PRE-BOOT HARDDISK ENCRYPTIE PRINCIPE). 2. OM LOKAAL DATA OP TE SLAAN IS EEN SPECIALE PARTITIE BESCHIKBAAR. DE PARTITIE WAAR HET BESTURINGSSSYTEEM OP STAAT IS NIET DOOR DE GEBRUIKER AAN TE PASSEN Operationele normen vaste en mobiele werkplek: Logische afscherming 1. (SL): VASTE WERKPLEKKEN STARTEN ALLEEN OP VANAF GEAUTORISEERDE MEDIA. 2. (SL): PER DEPARTEMENT MOET WORDEN VASTGESTELD OF, EN WELKE USB STICKS (EN ANDERE PERIPHERAL DEVICES) WORDEN TOEGESTAAN. DIT WORDT DAN, MITS CONFORM MET HET KADER MOBIELE DATADRAGERS, (ONAFHANKELIJK VAN DE LOCATIE) AFGEDWONGEN. Zonering 3. (SL): HET IS NIET MOGELIJK OM VERSCHILLENDE NETWERKEN VIA DE WERKPLEK TE VERBINDEN. 4. (SL/NL): WERKSTATIONS WORDEN NIET IN MEERDERE O, T, A OF P OMGEVINGEN TEGELIJK GEBRUIKT. Hardening 5. (SL): STANDAARD WORDT RANDAPPARATUUR NIET ONDERSTEUND, NAAST DE UITZONDERINGEN VOOR O.A. TOETSENBORDEN, MUIZEN EN USB STICKS. VOOR MOBIELE DATADRAGERS GELDEN AANVULLENDE NORMEN, ZOALS BESCHREVEN IN HET NORMENKADER VOOR MOBIELE DATADRAGERS. Filtering 6. (SL): HET BESTURINGSSYSTEEM GEBRUIKT BEVEILIGINGSSOFTWARE WAARONDER ANTI VIRUSSOFTWARE, TOOLS TEGEN SPYWARE; ANTI-PHISHINGSOFTWARE, ENCRYPTIESOFTWARE (MINIMAAL AES 128 BITS, OF GELIJKWAARDIG) ALSMEDE EEN (ALLEEN CENTRAAL) CONFIGUREERBARE PERSONAL FIREWALL. 7. (DL): DE MALWARE SCANNER CONTROLEERT BESTANDEN PERIODIEK (MINIMAAL 1 KEER PER MAAND), EN OP HET MOMENT DAT ZE GEOPEND WORDEN. 8. (SL): VOOR WERKLEKKEN WORDT AANBEVOLEN OM INKOMEND NETWERKVERKEER VAN ANDERE WERKPLEKKEN NIET TOE TE STAAN. Identificatie, authenticatie, autorisatie 9. (SL): HET LOKALE ADMINISTRATOR ACCOUNT (INDIEN AANWEZIG) HEEFT EEN SPECIFIEK WACHTWOORD, WELKE CENTRAAL OPGESLAGEN EN BEHEERD ZAL WORDEN. 10. (SL): GEBRUIKERS KUNNEN NIET ONGEAUTORISEERD LOKALE ADMINISTRATOR RECHTEN VERKRIJGEN. 11. (SL): GEBRUIK VAN LOKALE ADMINISTRATOR RECHTEN IS ZICHTBAAR VOOR GEAUTORISEERDE PERSONEN. 12. (SL): DE WERKPLEKKEN ZIJN VOORZIEN VAN EEN SCREENSAVER MET WACHTWOORD DIE NA 15 MINUTEN VAN INACTIVITEIT INSCHAKELT. 13. (SL): BEHEERTOEGANG VAN AFSTAND TOT DE WERKPLEKKEN VEREIST 2-FACTOR AUTHENTICATIE VAN DE BEHEERDER. 14. (SL): BEHEERTOEGANG VAN AFSTAND VEREIST EXPLICIETE GOEDKEURING VAN DE GEBRUIKER, WAARBIJ DE GEBRUIKER DE MOGELIJKHEID HEEFT OM DE BEHEERSESSIE TE BEËINDIGEN. 15. (SL): WERKPLEKKEN VEREISEN EEN HANDMATIGE LOGIN, HET IS DUS NIET TOEGESTAAN OM AUTOMATISCH ALS EEN BEPAALDE GEBRUIKER IN TE LOGGEN. 16. (SL): OP DE WERKPLEKKEN WORDT UAC OF EEN VERGELIJKBAAR MECHANISME, WANNEER BESCHIKBAAR, AANGEZET. 35 van 68

36 3.8.1 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Dit in aanvulling op de normen die worden afgedekt vanuit het patroon generieke systeemconfiguratie. Norm Real-time automatische malware-controle bij gebruik van gegevens Toestemming bij overname werkstations 36 van 68

37 3.9 Subpatroon Generieke serverconfiguratie Oplossing Server Hardware Besturingssysteem Systeembeveiliging Zonering Zonering Hardening Hardening Continuïteitsvoorzieningen Fysieke afscherming Geautoriseerde toegang Slechts koppeling op 1 netwerkcompartiment m.u.v. Beheer Geen browser Indien browser noodzakelijk: geen overbodige webbrowser plugins Geen browser Indien browser noodzakelijk: geen overbodige webbrowser plugins Redundantie: Fail-over Standby Tijdssynchronisatie 3 Figuur 13 Subpatroon generieke serverconfiguratie Figuur 13 schetst de IB-functies en mechanismen voor het subpatroon generieke serverconfiguratie. Beschikbaarheid van gemeenschappelijke diensten is essentieel voor het functioneren van DWR. Daarom is de configuratie voor dergelijke servers primair gericht op het waarborgen van beschikbaarheid van servers. Secundair zijn ook de aspecten integriteit en vertrouwelijkheid van belang omdat aantasting van de integriteit of vertrouwelijkheid ook impact kan hebben op de beschikbaarheid. Servers dienen daartoe fysiek te worden afgeschermd en voor kritische diensten dienen continuïteitsvoorzieningen te worden getroffen, bijvoorbeeld op basis van redundantie. Ook dient voor de servers hardening te worden toegepast om het risico van mogelijk misbruik van kwetsbaarheden in overbodige aanwezige functionaliteit te beperken. Wijzigingen in de serverconfiguratie (zoals bijvoorbeeld updates) dienen voor wijziging uitvoerig te worden getest om er zeker van te zijn dat door de wijziging de beschikbaarheid van de server niet in gevaar komt. Om bij mogelijke incidenten adequaat te kunnen optreden is het van belang dat de logging is te correleren en daartoe dienen servers dezelfde tijdreferentie aan te houden Operationele normen: Zonering 1. (SL): SERVERS DIENEN ZICH TE BEVINDEN IN EEN AFGESLOTEN RUIMTE, WAARBIJ ALLEEN GEAUTORISEERD PERSONEEL FYSIEK TOEGANG HEEFT TOT DE SYSTEMEN. Hardening 2. (SL): UPDATES WORDEN BINNEN 1 WEEK INGEVOERD OP DE PRODUCTIEOMGEVING. 3. (SL): SERVERS HEBBEN GEEN WEBBROWSER, TENZIJ DEZE STRIKT NOODZAKELIJK IS. INDIEN ER EEN BROWSER NOODZAKELIJK IS, ONDERSTEUNEN DEZE GEEN JAVASCRIPT, ACTIVE-X PLUGINS OF ANDERE SCRIPTTALEN TENZIJ GEAUTORISEERD. 37 van 68

38 4. (SL): DAAR WAAR MOGELIJK WORDEN PRODUCTEN GEBRUIKT DIE VOLGENS EEN INTERNATIONAAL GEACCEPTEERDE STANDAARD/ORGANISATIE GEËVALUEERD ZIJN. DE COMMON CRITERIA EVALUATIES ZIJN HIERBIJ EEN GOED UITGANGSPUNT. Filtering 5. (SL): VOOR SERVERS GELDT DAT PERIODIEK WORDT GECONTROLEERD OP VIRUSSEN EN ANDERE MALWARE IN DE BESTANDEN DIE ZIJN OPGESLAGEN. Continuïteitsvoorzieningen 6. (DL): KRITISCHE DIENSTEN (AD/DC/DNS/DATABASE SERVERS) MOETEN EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% HEBBEN. 7. (DL) DE SERVERS DIENEN GEBRUIK TE MAKEN VAN EEN EN DEZELFDE TIJDBRON (NTP), NAMELIJK DE TIJD VAN DE HAAGSE RING (NTP SERVICE). 8. (DL): BIJ TOEPASSING VAN GEOGRAFISCHE SCHEIDING DIENT DE AFSTAND TUSSEN DE BETROKKEN LOCATIES MINIMAAL 500M BEDRAGEN. 9. (DL): BIJ REDUNDANTIE MAG ER GEEN SINGLE POINT OF FAILURE ZIJN DIE DE BESCHIKBAARHEID VAN BEIDE SYSTEMEN TEGELIJK BEINVLOEDT. 10. (DL): BIJ REDUNDANTIE MOET ER ZODANIG OVERGESCHAKELD WORDEN NAAR HET RESERVE- SYSTEEM (HARDWARE + SOFTWARE/APPLICATIE), DAT DE VEREISTE BESCHIKBAARHEID WORDT BEHAALD Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Dit in aanvulling op de normen die worden afgedekt vanuit het patroon generieke systeemconfiguratie. Norm Redundante uitvoering componenten Geen Single Point of Failure (SpoF) bij redundantie Automatische opvang van uitval Periodieke automatische malware-controle van opgeslagen gegevens Correcte tijdsinformatie 38 van 68

39 3.10 Patroon Generieke applicatieconfiguratie Rationale: De applicaties (dit kunnen lokale applicaties zijn maar ook websites e.d.) die door DWR worden aangeboden, zowel standaard applicaties die door alle departementen worden gebruikt als departementaal specifieke applicaties, zijn een potentiële bron van beveiligingsincidenten. Zo hebben applicaties toegang tot informatie, kunnen ze netwerkverkeer genereren en hebben ze de mogelijkheid om de gebruiker aan te sturen (denk aan het vragen om een gebruikersnaam/wachtwoord). Het is daarom van belang dat er afspraken gemaakt worden over beveiligingseisen voor deze applicaties Context Figuur 14 Applicatie binnen DWR Figuur 14 schetst de elementen van een applicatie binnen DWR. De belangrijkste dreigingen voor applicaties (waar applicaties maatregelen tegen kunnen treffen) bestaan uit aanvallen vanaf de gebruikersinterface. Door de invoer te controleren op geldigheid worden bijvoorbeeld bufferoverflows, cross site scripting, SQL injection en script injection voorkomen (Programmacontroles). Daar bovenop zorgt voor het afschermen van toegang tot de applicatie dat ongeautoriseerde gebruikers geen mogelijkheid hebben om de applicatie aan te vallen (IAA, Filtering). Door handelingen van gebruikers te loggen is het mogelijk om na een incident te bepalen wie het incident heeft veroorzaakt (Controle, alarmering, rapportering), wat een preventief effect heeft. Tot slot kan een dienst/applicatie maatregelen treffen om onevenredig gebruik door één gebruiker te voorkomen, wat de beschikbaarheid voor de andere gebruikers garandeert (Continuïteitsvoorzieningen). 39 van 68

40 Oplossing Figuur 15 Patroon generieke applicatieconfiguratie Figuur 15 schetst de IB-functies en mechanismen voor het patroon generieke applicatieconfiguratie. De configuratie van applicaties is gericht op: Betrouwbaarheid van informatie met betrekking tot de applicatie Beperken van het risico van aantasting van de betrouwbaarheid van werkplek en DWR netwerk Het gebruik van functiescheiding beperkt het risico dat informatie binnen de applicatie kan worden gemanipuleerd. Verder dient ingevoerde informatie te worden gevalideerd om het risico te beperken dat een mogelijke kwetsbaarheid binnen de applicatie wordt misbruikt. Het risico dat een applicatie de betrouwbaarheid van werkplek of het DWR netwerk kan schaden wordt beperkt door alleen geautoriseerde applicaties toe te staan en applicaties voor productie uitvoerig te testen op eventuele beïnvloeding van de DWR omgeving. Ook dient hiertoe logging,en loganalyse plaats te vinden met betrekking tot gebruik en uitvoering van de applicatie Operationele normen: Programma controles 1. (DL/SL): INVOER VAN ONVERTROUWDE PARTIJEN (ZOALS GEBRUIKERS MAAR BIJV. OOK EXTERNE DATABRONNEN) MOET GEVALIDEERD WORDEN. AANVALLEN ZOALS SQL INJECTIE EN CROSS-SITE- SCRIPTING WORDEN HIERDOOR VOORKOMEN. 2. (DL): INGEVOERDE GEGEVENS WORDEN GECONTROLEERD OP JUISTHEID EN GELDIGHEID, ZODAT FOUTIEVE INVOER TOT EEN MINIMUM WORDT BEPERKT. ONGELDIGE INVOER WORDT NIET GEACCEPTEERD. 3. (DL): ER WORDT GECONTROLEERD OP DUBBELE INVOER VAN GEGEVENS. BIJ DETECTIE WORDT DE GEBRUIKER GEWAARSCHUWD. 40 van 68

41 4. (DL): EEN APPLICATIE BIEDT GEEN MOGELIJKHEID VOOR GEBRUIKERS TOT HET VERSTUREN VAN SPAMBERICHTEN. 5. (DL): ALS BEPAALDE INFORMATIE OP MEERDERE PLAATSEN WORDT BIJGEHOUDEN, WORDT PERIODIEK GECONTROLEERD OF DE INFORMATIE CONSISTENT IS. Identificatie, authenticatie, autorisatie 6. (DL): APPLICATIES MOETEN FUNCTIESCHEIDING TUSSEN BIJV. BEHEERFUNCTIES, LEES- EN SCHRIJFFUNCTIES MOGELIJK MAKEN. 7. (DL): DE OP DE WERKPLEK AANGEBODEN APPLICATIES HEBBEN GEEN HOGE OF SYSTEEMRECHTEN NODIG OM OP DE WERKPLEK TE FUNCTIONEREN. ZIJ KUNNEN DUS MET DE STANDAARD GEBRUIKERSRECHTEN VAN HET TOEGEPASTE OS FUNCTIONEREN. 8. (DL): APPLICATIES MOETEN GEBRUIK MAKEN VAN EEN VORM VAN GEBRUIKERSAUTHENTICATIE OM TE VOORKOMEN DAT ONGEAUTORISEERDE PERSONEN TOEGANG HEBBEN TOT DE APPLICATIE. DIT KAN OOK OP SYSTEEMNIVEAU PLAATSVINDEN. 9. (DL): WANNEER EEN APPLICATIE VOOR MEERDERE GEBRUIKERS TOEGANKELIJK IS, MOETEN MAATREGELEN WORDEN GETROFFEN OM ONEVENREDIG GEBRUIK DOOR ÉÉN GEBRUIKER TE VOORKOMEN. 10. (DL): RECHTEN ZIJN GEKOPPELD AAN ROLLEN, DIE OP HUN BEURT ZIJN GEKOPPELD AAN GEBRUIKERS. OP DEZE MANIER WORDT HET BEHEER VAN RECHTEN VEREENVOUDIGD EN IS ER MINDER GEVAAR OP ONJUIST TOEGEWEZEN RECHTEN. 11. (DL): ROLLEN BESCHIKKEN ALLEEN OVER DIE RECHTEN DIE NODIG ZIJN VOOR HET UITVOEREN VAN DE ROL, EN GEBRUIKERS HEBBEN ALLEEN DIE ROLLEN DIE NODIG ZIJN VOOR DE WERKZAAMHEDEN VAN DE GEBRUIKER. Continuïteitsvoorzieningen 12. (DL): VOOR ENCRYPTIE MOET AES OF GELIJKWAARDIG GEBRUIKT WORDEN, MET EEN MINIMALE SLEUTELLENGTE VAN 128 BITS. 13. (DL): UPDATES VOOR APPLICATIES MOETEN EERST WORDEN GETEST OM TE CONTROLEREN OF DE JUISTE WERKING VAN DE DWR SYSTEMEN NIET WORDT BEÏNVLOED. Logische afscherming 14. (DL): STANDAARD PROTOCOLLEN MOETEN WORDEN GEBRUIKT, DEZE MOGEN GEEN AFBREUK DOEN AAN HET GEWENSTE BEVEILIGINGSNIVEAU. 15. (DL): CRYPTOGRAFISCHE APPLICATIES DIENEN EEN INSTELBARE SLEUTELLENGTE TE GEBRUIKEN, WAARBIJ DE MINIMALE SLEUTELLENGTE VOOR EEN ACCEPTABEL BEVEILIGINGSNIVEAU ZORGT. Hardening 16. (DL): INDIEN VAN TOEPASSING ONDERSTEUNT EEN APPLICATIE CODE SIGNING (D.M.V. EEN DIGITALE HANDTEKENING) OM TE BEPALEN OF SCRIPTS WEL OF NIET UITGEVOERD MOGEN WORDEN. 17. (DL): ZOGENAAMDE SECURITY-UPDATES (UPDATES WAARIN EEN BEVEILIGINGSPROBLEEM WORDT OPGELOST) WORDEN BINNEN 1 WEEK INGEVOERD OP DE PRODUCTIEOMGEVING. 18. (DL): INDIEN VAN TOEPASSING DIENEN INSTELLINGEN OVERGENOMEN TE WORDEN UIT STANDAARDEN ZOALS NIST, ZOLANG DEZE NIET IN TEGENSPRAAK ZIJN MET NORMEN/RICHTLIJNEN UIT DEZE BASELINE. 19. (DL): JAVASCRIPT, WORD MACRO S EN ANDERE SCRIPTS KUNNEN ZIJN ALLEEN TOEGESTAAN INDIEN ZE AFKOMSTIG ZIJN VAN EEN VERTROUWDE BRON EN ZIJN GEAUTORISEERD, OF IN EEN ZGN. SANDBOX WORDEN UITGEVOERD. Vastleggen gebeurtenissen 20. (DL): APPLICATIES SLAAN LOGGEGEVENS OP MET BETREKKING TOT BEVEILIGINGS-RELEVANTE INFORMATIE. VOORBEELDEN HIERVAN ZIJN: MISLUKTE LOGIN-POGINGEN, POGING TOT UITVOEREN VAN ACTIES WAAR DE GEBRUIKER GEEN RECHTEN VOOR HEEFT EN SOFTWARE- CRASHES. 41 van 68

42 Interoperabiliteit/beheer 21. (DL): APPLICATIES DIE DOOR ALLE DEPARTEMENTEN WORDEN GEBRUIKT MOETEN CENTRAAL KUNNEN WORDEN BEHEERD Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Voorkomen onevenredig gebruik Functiescheidingen Scheiding tussen beheer en gebruik Rechten op basis van rollen Validatie en bestaanbaarheid Signaleren mogelijk foutieve invoer Geen default waarden Signaleren dubbele invoer Tegengaan applicatieve spam Vergelijk dezelfde gegevens in verschillende gegevensverzamelingen Gegevensencryptie Versleuteling Gebruik standaard algoritmen Gebruikt robuuste algoritmen Certificering voor cryptografische producten Instelbare sleutellengte Sleutellengte Instellingen voldoen aan productstandaards Sandbox voor Mobile Code Blokkeren van Mobile Code Alleen uitvoeren van geauthentiseerde Mobile Code Alleen uitvoeren van geautoriseerde Mobile Code 42 van 68

43 3.11 Patroon Multifunctional-configuratie Rationale: Printfunctionaliteit is een onderdeel van de dienst DWR. Omdat op deze printers gevoelige informatie kan worden afgedrukt, is het van belang dat de printers goed beveiligd zijn. De beveiliging is een interdepartementale aangelegenheid, omdat ook andere departementen gebruik kunnen maken van die printer, bijvoorbeeld als een medewerker bij een ander departement aanwezig is Context: Figuur 16 Situatieschets van printers binnen DWR Figuur 16 schetst de situatie rond printers binnen DWR. De functionaliteit van een printer is hierbij verbreed naar die van een multi-functional copier: naast het afdrukken biedt de printer ook de mogelijkheid tot inscannen van documenten en en van ingescande documenten. Printers hebben in principe drie verschillende toegangsmogelijkheden; fysieke toegang, toegang tot de beheerinterface en toegang tot de printfunctionaliteit. By fysieke toegang is het belangrijk dat niet iedereen bij de printer kan komen, dit kan worden opgelost door printers in afgeschermde ruimtes te plaatsen (Zonering, Filtering). Zo wordt tot op zekere hoogte voorkomen dat afdrukken door onbevoegden worden meegenomen. Via het netwerk is de printer ook te benaderen voor het versturen van printopdrachten. Hierbij moet worden vastgelegd welke persoon welke printopdracht heeft verstuurd, zodat het annuleren van printopdrachten mogelijk is (IAA). Voor beheer mogen alleen geautoriseerde personen de instellingen van de printer 43 van 68

44 kunnen wijzigen (IAA). Niet alle netwerkelementen hebben toegang tot de printers nodig, en moeten daarom worden afgeschermd (Zonering, Filtering). De status van de printer moet worden vastgelegd en gerapporteerd (Controle, alarmering, rapportering). Het reageren op deze meldingen, en maatregelen zoals het toepassen van meerdere papierbakken zorgen voor een hogere beschikbaarheid (Continuiteitsvoorzieningen) Oplossing Figuur 17 Patroon printerconfiguratie Figuur 17 schetst de IB-functies en mechanismen voor het patroon printerconfiguratie. Printers zijn volwaardige systemen die mogelijk gebruikt kunnen worden voor een aanval richting het DWR netwerk. Daarom dienen printers ontdaan te worden van niet noodzakelijke functionaliteit (hardening) en dient de toegang tot de printer zowel logisch als fysiek zo veel mogelijk beperkt te worden (afscherming, autorisatie) om de integriteit van de printer te waarborgen Operationele normen Identificatie, authenticatie, autorisatie 1. (SL): ALLEEN GEAUTORISEERDE GEBRUIKERS KUNNEN GEBRUIK MAKEN VAN DE PRINTERS. 2. (SL): GEBRUIKERS MOET DE MOGELIJKHEID WORDEN GEBODEN OM BEVEILIGD TE PRINTEN, DOOR MIDDEL VAN HET ZOGENAAMDE FOLLOW-ME PRINTING OF FYSIEKE AFSCHERMING 3. (SL): TOEGANGSRESTRICTIES ZIJN AANGEBRACHT OP DE BEHEERINTERFACE VAN DE PRINTER. Logische afscherming 4. (NL): ALLE NETWERKPRINTERS WORDEN LOGISCH AFGESCHERMD VAN DE WERKSTATIONS. 5. (NL): NETWERKPRINTERS WORDEN LOGISCH AFGESCHERMD VAN SYSTEMEN WAARMEE GEEN COMMUNICATIE NODIG IS. 6. (SL): INDIEN DE PRINTER OPSLAGMEDIA(HARDDISK, FLASH-GEHEUGEN) BEVAT, MOET DEZE OP VEILIGE WIJZE GEWIST OF VERNIETIGD WORDEN, VOORDAT DE PRINTER AFGEVOERD WORDT. Zonering 44 van 68

45 7. (SL): FYSIEKE TOEGANG TOT DE PRINTERS IS AFGESCHERMD TOT ALLEEN GEAUTORISEERDE PERSONEN, ZODAT DE INTEGRITEIT VAN DE PRINTER EN DE VERTROUWELIJKHEID VAN AFGEDRUKTE INFORMATIE BEHOUDEN BLIJFT. Hardening 8. (SL): ALLE PRINTERS (OOK GASTPRINTERS) DIENEN GEHARDENED TE WORDEN (M.A.W. NIET NOODZAKELIJKE FUNCTIONALITEITEN / PROTOCOLLEN MOETEN ZIJN UITGEZET). Interoperabiliteit/beheer 9. (SL): MELDINGEN OVER DE STATUS VAN DE PRINTER WORDEN DOORGESTUURD NAAR BEHEER. De basis voor bovenstaande richtlijnen is de IEEE-2600 Hardcopy devices standaard Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Hardening Toestaan op basis van noodzaak tot gebruik Beperken toegang voor onbevoegden Plaatsing en bescherming van apparatuur Omgang bedrijfseigendommen Verwijderen of hergebruiken van apparatuur 45 van 68

46 3.12 Patroon Authenticatie/Autorisatie Rationale: Toegang tot de verschillende objecten van DWR dient te worden gelimiteerd tot alleen geautoriseerd personeel, om zo de vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen Context: Figuur 18 Authenticatie en autorisatie binnen DWR Authenticatie en autorisatie hebben betrekking op alle niveaus van objecten binnen DWR, zie de situatieschets in Figuur 18, onder andere de volgende objecten en personen: Gebruikers Beheerders Derde partijen Werkplekken Servers Authenticatie gaat hierbij om het controleren of de identiteit die een object/persoon claimt te hebben ook klopt, en autorisaties gaan over de rechten die aan die identiteit gekoppeld zijn. De beveiligingsfunctie die hiermee wordt gerealiseerd is die van Identificatie, Authenticatie, Autorisatie. 46 van 68

47 Oplossing Figuur 19 Patroon authenticatie/autorisatie Figuur 19 schetst de IB-functies en mechanismen voor het patroon authenticatie/autorisatie. Om de toegang tot een bepaald object te beperken worden authenticatie en autorisatie mechanismen gebruikt. Met authenticatie kan de identiteit van een gebruiker worden vastgesteld (met een zekere mate van betrouwbaarheid) terwijl op basis van autorisatie daarna wel of niet toegang wordt verleend. De minimale vorm van authenticatie is die op basis van gebruikersnaam en wachtwoord. Het authenticatie mechanisme op basis van wachtwoord is kwetsbaar omdat een aanvaller wachtwoorden ongemerkt zou kunnen afluisteren of raden. Om te voorkomen dat een buitenstaander inzage heeft in het wachtwoord van een gebruiker mag een wachtwoord nooit in klare tekst worden opgeslagen of worden getransporteerd. Het risico van raden van een wachtwoord wordt beperkt door het aantal mogelijke inlogpogingen te beperken in tijd. Ook dient een wachtwoord een zekere moeilijkheidsgraad te hebben en dient regelmatig het wachtwoord te worden gewijzigd. Indien er meer zekerheid ten aanzien van de identiteit van een gebruiker is vereist (bijvoorbeeld bij authenticatie op afstand of ten behoeve van beheertaken) dient sterke authenticatie (twee factor) te worden gebruikt waarbij naast kennis van een wachtwoord of PIN ook het bezit van smartcard of token nodig is voor authenticatie Operationele normen: Identificatie, authenticatie, autorisatie 1. (DL/SL): ELKE GEBRUIKER VAN DWR HEEFT EEN UNIEKE GEBRUIKERSNAAM/IDENTIFIER. 2. (SL): DE SYSTEEMPROCESSEN DRAAIEN ONDER EEN EIGEN ACCOUNT. 3. (DL): HET MOET MOGELIJK ZIJN OM DE RECHTEN PER ROL TE SPECIFICEREN. OOK MOET INZICHTELIJK ZIJN WELKE ROLLEN EEN BEPAALD RECHT HEBBEN. 4. (DL/SL): GEBRUIKERS MOETEN ZICH MINIMAAL OP BASIS VAN WACHTWOORDEN AUTHENTICEREN. 5. (DL): DE HASH VAN HET WACHTWOORD MOET WORDEN OPGESLAGEN, NIET HET WACHTWOORD ZELF. 47 van 68

48 6. (DL/SL): GEBRUIKERSACCOUNTS DIE 2 MAANDEN NIET WORDEN GEBRUIKT MOETEN WORDEN ONDERZOCHT OM TE BEPALEN OF HET ACCOUNT VERWIJDERD KAN WORDEN. VOOR BEHEERACOUNTS IS DEZE TIJD MAXIMAAL 2 WEKEN. 7. (DL/SL): DE EXPIRATIEDATUM VAN EEN ACCOUNT MOET ZIJN GEKOPPELD AAN DE UITDIENSTTREDING VAN EEN MEDEWERKER. 8. (DL/SL): EEN WACHTWOORD IS MAXIMAAL 60 DAGEN GELDIG EN DIENT BINNEN DIE TIJD TE WORDEN AANGEPAST WAARNA OPNIEUW DE GENOEMDE TERMIJN INGAAT. 9. (DL/SL): NA EXPIRATIE MOET EEN ACCOUNT AUTOMATISCH GEBLOKKEERD WORDEN, WAARBIJ VIA DE PROCEDURES HET ACCOUNT EVENTUEEL WEER ONTSLOTEN KAN WORDEN. 10. (DL/SL): BEHEERDERS HEBBEN EEN SPECIAAL (PERSOONSGEBONDEN) BEHEERACCOUNT. 11. (DL/SL): VOOR BEHEERACCOUNTS MOET DE SCREENSAVER (MET WACHTWOORD) NA MAXIMAAL 10 MINUTEN WORDEN INGESCHAKELD. 12. (DL): EEN WACHTWOORD MAG NIET GETOOND WORDEN. 13. (DL/SL): BIJ HET LOGIN SCHERM WORDT EEN MELDING OVER ONGEAUTORISEERD MISBRUIK GETOOND. 14. (DL/SL): BIJ HET LOGIN SCHERM WORDT EEN MELDING T.A.V. DE LAATSTE SUCCESVOLLE LOGIN GETOOND MET DATUM EN TIJD. 15. (DL/SL): ER ZIJN GEEN TIJDSRESTRICTIES VOOR HET INLOGGEN, IN PRINCIPE KAN 24/7 WORDEN INGELOGD IN OVEREENSTEMMING MET TIJDSONAFHANKELIJK WERKEN. 16. (DL/SL): INLOGGEN IS IN PRINCIPE LOKATIEONAFHANKELIJK. 17. (DL/SL): HET GEBRUIK VAN EEN GEHEUGENSTEUN VOOR WACHTWOORDEN IS NIET TOEGESTAAN. 18. (SL): HET TONEN VAN HET LAATST INGELOGDE ACCOUNTNAAM IS NIET TOEGESTAAN. 19. (DL/SL): VOOR WERKPLEKAUTHENTICATIE IS HET VEREIST DAT EEN GEBRUIKER ZICH AUTHENTICEERT. DIT BETEKENT DAT BIJV. AUTOMATISCH ONDER EEN GEBRUIKERSACCOUNT INLOGGEN NA HET OPSTARTEN NIET IS TOEGESTAAN. (SINGLE SIGN ON IS WEL MOGELIJK, DEZE EIS GELDT ALLEEN VOOR INITIËLE WERKPLEKAUTHENTICATIE) 20. (SL): HET BIOS IS DOOR MIDDEL VAN EEN WACHTWOORD AFGESCHERMD VOOR INZAGE EN WIJZIGINGEN. ALLEEN WERKPLEKBEHEERDERS BEZITTEN DE BIOS WACHTWOORDEN. 21. (DL/SL/NL): AUTHENTICATIE IS TE ALLEN TIJDE HERLEIDBAAR TOT ÉÉN PERSOON. GROEPSACCOUNTS ZIJN NIET TOEGESTAAN. HET DELEN VAN ACCOUNTS MET BIJV. STAGIAIRS OOK NIET. 22. (DL): BIJ WERKEN OP AFSTAND (TOEGANG TOT HET NETWERK VIA INTERNET) IS 2-FACTOR AUTHENTICATIE VEREIST. 23. (DL/SL): MOBIELE WERKPLEKKEN DIENEN ZICH TE AUTHENTICEREN AAN HET NETWERK. 24. (DL/SL): VOOR AUTORISATIES WORDT ZOVEEL MOGELIJK GEBRUIK GEMAAKT VAN STANDAARD AUTORISATIEVOORZIENINGEN. 25. (DL/SL): INDIEN EEN PKI WORDT TOEGEPAST, DIENT TE WORDEN VOLDAAN AAN DE EISEN VAN PKI-OVERHEID. 26. (DL/SL): SYSTEEM EN NETWERK BEHEERDERS LOGGEN IN MET BEHULP VAN STERKE AUTHENTICATIE, MINIMAAL 2-FACTOR. 27. (DL/SL): VOOR WACHTWOORDEN GELDT DAT DEZE AAN BEPAALDE EISEN MOETEN VOLDOEN: MINIMAAL 8 KARAKTERS, BEVAT HOOFD- EN KLEINE LETTERS EN MINIMAAL 2 NIET- ALFANUMERIEKE TEKENS. 28. HET IS NIET MOGELIJK DE 24 LAATST GEBRUIKTE WACHTWOORDEN VAN EEN ACCOUNT OPNIEUW TE GEBRUIKEN. 29. (DL/SL): STANDAARD WACHTWOORDEN WORDEN TIJDENS OF DIRECT NA DE INSTALLATIE GEWIJZIGD. 30. (DL/SL): INITIËLE WACHTWOORDEN MOETEN BIJ HET EERSTE GEBRUIK DOOR DE GEBRUIKER WORDEN GEWIJZIGD. 48 van 68

49 31. (DL/SL): INITIËLE WACHTWOORDEN ZIJN MAXIMAAL 14 DAGEN GELDIG, NA DEZE PERIODE WORDT HET ACCOUNT AUTOMATISCH GEBLOKKEERD. 32. (DL/SL): INITIËLE WACHTWOORDEN VOLDOEN AAN DE STANDAARD NORMEN EN MOGEN EENMALIG, UNIEK, GEBRUIKT WORDEN EN DIENEN DIRECT DOOR DE GEBRUIKER TE WORDEN GEWIJZIGD. 33. (DL/SL): WANNEER 5X ACHTER ELKAAR EEN INLOGPOGING VOOR EEN ACCOUNT MISLUKT, WORDT HET ACCOUNT VOOR 10 MINUTEN GEBLOKKEERD. BETREFT HET EEN BEHEERACCOUNT, DAN WORDT DAT ACCOUNT IN DAT GEVAL GEBLOKKEERD. 34. (DL/SL): RECHTEN WORDEN GEKOPPELD AAN ROLLEN, VERVOLGENS KUNNEN ROLLEN AAN GEBRUIKERS WORDEN GEKOPPELD. 35. (DL/SL): ALLEEN DE RECHTEN DIE NODIG ZIJN VOOR HET UITVOEREN VAN EEN BEPAALDE TAAK MOGEN AAN DE ROL WORDEN TOEGEKEND. VOORBEELDEN ZIJN LEES- EN SCHRIJFRECHTEN, TOEGANGSRECHTEN ETC. 36. (DL/SL): DE TOEGEWEZEN RECHTEN PER ROL EN ROLLEN PER GEBRUIKER/ACCOUNT ZIJN PER OBJECT VASTGELEGD IN EEN AUTORISATIEMATRIX. Logische afscherming 37. (DL/SL/NL): MINIMAAL BEHEER WACHTWOORDEN MOETEN VERCIJFERD OVER HET LAN/WAN EN DE OVERIGE VERBINDINGEN WORDEN GETRANSPORTEERD. 38. ER WORDT GEBRUIK GEMAAKT VAN STANDAARD ALGORITMEN, MINIMAAL AES 128 OF GELIJKWAARDIG, DIE ROBUUST ZIJN TEGEN MISBRUIK Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Locatie-onafhankelijkheid Autorisatiebeheersysteem Versterkte authenticatie Gebruik standaard algoritmen Gebruikt robuuste algoritmen Voldoen aan PKI-Overheid Uniek identificeerbaar Identiteit voor processen Identiteiten voor beheer Minimaal authenticatieniveau Sterke authenticatie bij extern gebruik Authenticatie voor mobiele systemen Wachtwoordsterkte Omgang default wachtwoorden Omgang initiële wachtwoorden Geldigheidsduur initiële wachtwoorden Beperkte geldigheidsduur wachtwoorden Versleutelen transport van wachtwoordinformatie Geen opslag van wachtwoorden Expiratiedatum van accounts Blokkeren bij expiratie van accounts Schermbeveiliging Automatische aanmeldblokkering Wachtwoord niet tonen Melding van geautoriseerd gebruik Tijdsduurrestricties voor inloggen Niet tonen van informatie voor aanmelding Tonen laatste login Niets mag, tenzij toegestaan Toestaan op basis van noodzaak tot gebruik Algehele toegangsbeveiliging Niveau van bevoegdheden 49 van 68

50 50 van 68

51 3.13 Patroon Demilitarized Zone Rationale: Informatie systemen welke vanuit onvertrouwde omgevingen worden benaderd kennen een hoger risicoprofiel ten aanzien van aanvallen of het ongeautoriseerd gebruikt te worden als doorstap naar andere interne systemen. Binnen de DWR omgeving is het belangrijk dat de betrokken organisaties onderling er van kunnen uitgaan dat dergelijke toegang goed is beveiligd Context: Figuur 20 Toepassing Demilitarized Zone Figuur 20 schetst hoe toegang vanuit onvertrouwde netwerken tot systemen de facto is geregeld binnen de DWR omgeving. Het locale netwerk is afgescheiden van het onvertrouwde netwerk, beide netwerken hebben toegang tot een demilitarized zone. Alleen de systemen binnen deze zone (de DMZ ) zijn dus toegankelijk vanuit het onvertrouwde netwerk. Het interne netwerk is afgeschermd voor toegang vanuit de DMZ, ook geldt dit (in nog sterkere mate) voor het beheernetwerk Oplossing Intern netwerk DMZ Onvertrouwd netwerk Subpatroon: Beveiligd koppelvlak voor vertrouwde netwerken Subpatroon: Generieke systeemconfiguratie Zonering Hardening Controle Alarmering Rapportering Subpatroon: Beveiligd koppelvlak voor onvertrouwde netwerken Subpatroon: Generieke serverconfiguratie Fysieke afscherming Out-of-band mgmt Geen overbodige applicaties/ services (strikt) Patching (strikt) HIDS/HIPS Log server Figuur 21 Patroon Demilitarized Zone 51 van 68

52 Figuur 21 schetst de IB-functies en mechanismen voor het patroon Demilitarized Zone. Binnen dit patroon worden de subpatronen Beveiligd koppelvlak voor vertrouwde netwerken, Beveiligd koppelvlak voor onvertrouwde netwerken en Generieke systeem configuratie hergebruikt en niet opnieuw beschreven. Het eerste genoemde koppelvlak schermt het interne netwerk af van de DMZ. De DMZ is als een (zij het een speciaal soort) vertrouwd netwerk te beschouwen het wordt immers van het onvertrouwde netwerk afgescheiden door het Beveiligd koppelvlak voor onvertrouwde netwerken en valt binnen het domein waarover de betreffende beheerorganisatie zelf de controle heeft. Zoals voor alle maatregelen in dit document, geldt dat beide koppelvlakken zwaardere maatregelen mogen bevatten dan hier beschreven zolang de interoperabiliteit niet wordt geschaad. Via de koppelvlakken ontstaat dus een zone, de DMZ. De zone zelf dient fysiek gescheiden te zijn van het interne netwerk. Dat betekent dat het DMZ LAN geen logische LAN kan zijn op dezelfde apparatuur als het interne netwerk. Een andere pijler van de beveiliging van de DMZ is de bescherming van de systemen daarin. Hardening van deze systemen verdient extra aandacht. De systemen lopen meer gevaar, omdat ze ook vanuit onvertrouwde zones te bereiken zijn. Ook dient extra aandacht te worden besteed aan logging en monitoring. Systemen dienen niet ongemerkt succesvol dan wel onsuccesvol te kunnen worden aangevallen. Tot slot is het beheer van de DMZ zelf en de systemen daarin een aandachtsgebied. Het mag niet mogelijk zijn dat via aangevallen systemen het beheerdomein gecompromitteerd wordt. Daarnaast is het onwenselijk dat door aanvallen (bv DoS) beheervoorzieningen onbereikbaar worden. Beheer van systemen, netwerk componenten vindt daarom plaats out-of-band (dat wil zeggen niet via het productie netwerk, ook niet logisch gescheiden daarbinnen). Bijvoorbeeld door toepassing van console servers welke zijn aangesloten op een fysiek gescheiden beheer segment binnen de DMZ Operationele normen: Zonering 1. (NL): DE DMZ IS ONTKOPPELD VAN HET ONVERTROUWDE NETWERK DOOR TOEPASSING VAN HET PATROON BEVEILIGD KOPPELVLAK VOOR ONVERTROUWDE NETWERKEN. 2. (NL): DE DMZ IS ONTKOPPELD VAN HET INTERNE NETWERK DOOR MINIMAAL TOEPASSING VAN HET PATROON BEVEILIGD KOPPELVLAK VOOR VERTROUWDE NETWERKEN. 3. (NL): DE DMZ IS GEREALISEERD MIDDELS FYSIEKE SCHEIDING. 4. (NL/SL): HET BEHEERNETWERK IS FYSIEK GESCHEIDEN VAN HET BEHEER SEGMENT IN DE DMZ. HET BEHEER VERLOOPT VIA OUT-OF-BAND VOORZIENINGEN. Hardening 5. (SL): ALLE SYSTEMEN BINNEN DE DMZ ZIJN GEHARDEND WAARBIJ REKENING GEHOUDEN IS HET DREIGINGSPROFIEL. Controle, Alarmering, Rapportering 6. (SL): ALLE AANVALLEN OP SYSTEMEN WORDEN GEDETECTEERD EN WAAR MOGELIJK OOK OP SYSTEEM NIVEAU TEGENGEHOUDEN. 52 van 68

53 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Redundante uitvoering componenten Geen Single Point of Failure (SpoF) bij redundantie Automatische opvang van uitval Scheiding tussen beheer en gebruik Rechten op basis van rollen Periodieke automatische malware-controle van opgeslagen gegevens Zonering toepassen Communicatie via beveiligd koppelvlak Eigen zone beheer Periodieke zone-evaluatie Vastlegging koppelingen Uitgebreide restricties Beperken communicatie tussen werkstations Beschermen continuïteit Verschillende beveiligingssystemen Automatische malware-controle Automatische syntax-controle Automatische format-controle Automatisch aanmelden Minimaal aanbod van applicaties Gestandaardiseerd beheer Geen overbodige applicaties Minimale rechten toekennen Minimaal gebruik van administrator/root account Correcte tijdsinformatie Alleen legitieme updates Controle op updates/patches Instellingen voldoen aan productstandaards 53 van 68

54 3.14 Patroon Logging/monitoring Rationale: Om beveiligingsincidenten te kunnen detecteren en analyseren is het toepassen van logging en monitoring noodzakelijk. Monitoring dient in het bijzonder voor het tijdig detecteren van incidenten, zodat er tijdig actie op kan worden ondernomen (alerting). De logging is van belang bij het analyseren van incidenten; als de detectie pas in een laat stadium plaatsvindt kan met behulp van de logging worden achterhaald welke gebeurtenissen eraan vooraf gingen Context: Figuur 22 Logging en monitoring binnen DWR Figuur 22 schetst de situatie met betrekking tot logging en monitoring binnen DWR. Informatie die van belang is voor het analyseren van beveiligingsincidenten moet worden gelogd. Deze informatie is verspreid over de objecten van DWR, en kan bestaan uit applicatie-, systeem- en netwerkgegevens. Dit betekent dat feitelijk alle objecten informatie/gebeurtenissen dienen te loggen. De beveiligingsfunctie die hiermee wordt gerealiseerd is die van Controle, alarmering en rapportering. 54 van 68

55 Oplossing Figuur 23 Patroon logging/monitoring Figuur 23 schetst de IB-functies en mechanismen voor het patroon logging/monitoring. Bij logging voor analyse van incidenten zijn de integriteit en beschikbaarheid belangrijk. De gewenste loggegevens dienen altijd te kunnen worden opgeslagen en daarna geraadpleegd te kunnen worden een zekere tijdsperiode na de logging. Inzage in de loggevens dient beperkt te zijn tot geautoriseerde personenen en de loggegevens zelf dienen voldoende informatie te verschaffen voor analyse maar niet voor doorbreken van beveiliging (denk aan opslag van wachtwoorden) Operationele normen Vastleggen van gebeurtenissen 1. (DL/SL): DE VOLGENDE TYPEN INFORMATIE MOETEN GELOGD WORDEN: a. AUTHENTICATIEPOGINGEN (AL DAN NIET SUCCESVOL) b. GEDETECTEEERDE MALWARE (WORMEN/VIRUSSEN/SPYWARE E.D.) c. TOEGANG TOT GEDEELDE BESTANDEN/INFORMATIE d. BEHEERACTIES VAN BEHEERDERS e. STORINGEN IN DE DIENSTVERLENING f. SIGNIFICANTE GEBRUIKERSHANDELINGEN 2. (DL/SL): EEN LOGREGEL MOET DE VOLGENDE INFORMATIE BEVATTEN: a. DATUM EN TIJDSTIP, MINIMAAL TOT OP SECONDENIVEAU b. GEBRUIKERSNAAM/IDENTIFICATIE c. WERKSTATION/LOCATIE INFORMATIE d. ACTIVITEIT e. HET OBJECT WAAROP DE ACTIVITEIT WERD UITGEVOERD f. INDIEN RELEVANT, HET RESULTAAT VAN DE ACTIVITEIT 3. (DL/SL): LOGREGELS HEBBEN EEN VOLGNUMMER EN EEN TIMESTAMP, WAARDOOR VERWIJDERDE REGELS GEDETECTEERD KUNNEN WORDEN. 55 van 68

56 4. (DL/SL): OM EEN GOEDE ANALYSE VAN INCIDENTEN MOGELIJK TE MAKEN MOETEN DE SYSTEMEN DIE LOGINFORMATIE VERSTUREN EEN GESYNCHRONISEERDE KLOK HEBBEN, MET EEN MAXIMALE AFWIJKING VAN 500 MILLISECONDEN. Controle, Alarmering, Rapportering 5. (DL/SL): OP HET MOGELIJK VOLLOPEN VAN HET OPSLAGMEDIUM VAN LOGGING-INFORMATIE DIENT ACTIEF GEMONITORD TE WORDEN. 6. (DL): AANPASSINGEN IN DE LOGGING WORDEN OP EEN SEPARAAT SYSTEEM GELOGD WORDEN OM FRAUDE TE DETECTEREN. (CONTROLE OP DE CONTROLEUR) 7. (DL/SL): BEVEILIGINGSINSTELLINGEN DIENEN TE WORDEN GEMONITORD, EN WIJZIGINGEN VAN BEVEILIGINGSINSTELLINGEN GELOGD. 8. (DL/SL): HET MOET MOGELIJK ZIJN OM WIJZIGINGEN PER ROL/ROLTOEWIJZING IN TE ZIEN VAN GEBRUIKERSACCOUNTS (VAN SYSTEMEN/WERKPLEKKEN). 9. (DL/SL): DE BELASTING VAN SERVERSYSTEMEN WORDT AUTOMATISCH GEMETEN EN KAN WORDEN UITGELEZEN VIA BIJVOORBEELD SNMP, MINIMAAL VERSIE (DL/SL): FIREWALL INSTELLINGEN EN ACTIES KUNNEN WORDEN GELOGD. 11. (DL/SL): RAPPORTAGE OVER LOGGING-INFORMATIE MET BETREKKING TOT BEVEILIGING DIENT MAANDELIJKS TE WORDEN OPGELEVERD AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER. 12. (DL/SL): TRENDANALYSES OVER BEVEILIGINGSGEBEURTENISSEN DIENEN MAANDELIJKS TE WORDEN OPGELEVERD AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER. 13. (DL/SL): BEVEILIGINGSINCIDENTEN WORDEN Z.S.M. (VOLGENS EEN VOORAF OPGESTELDE PROCEDURE) AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER GEMELD. BEWIJSMATERIAAL WORDT HIERBIJ AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER OVERHANDIGD. 14. (DL/SL): DE CONFIGURATIE VAN SYSTEMEN MOET ZIJN VASTGELEGD EN MOET INZICHTELIJK ZIJN VOOR BEHEERDERS EN ANDER GEAUTORISEERD PERSONEEL. Zonering 1. (DL/SL): DE INTEGRITEIT VAN LOGBESTANDEN MOET WORDEN GEWAARBORGD, SCHRIJFTOEGANG MOET ZOVEEL MOGELIJK WORDEN BEPERKT. 2. (DL/SL): EEN LOGREGEL BEVAT GEEN WACHTWOORDEN OF ANDERE INFORMATIE DIE TOT BEVEILIGINGSINCIDENTEN KAN LEIDEN. Identificatie, authenticatie, autorisatie 3. (DL): LOGGING INFORMATIE MAG ALLEEN DOOR GEAUTORISEERDE PERSONEN BENADERD WORDEN. 4. (DL/SL): ALLEEN GEAUTORISEERDE SYSTEMEN KUNNEN IN DE CENTRALE LOG-DATABASE SCHRIJVEN. 5. (DL/SL): ALLEEN GEAUTORISEERDE BEHEERDERS HEBBEN DE MOGELIJKHEID OM DE LOG- INSTELLINGEN TE WIJZIGEN OF LOGBESTANDEN AAN TE PASSEN. Continuïteitsvoorzieningen 6. (DL): HET OVERSCHRIJVEN OF VERWIJDEREN VAN LOGBESTANDEN WORDT IN HET NIEUWE LOGBESTAND GELOGD. 7. (DL): BEWAARTERMIJN: ALLE LOGGING-INFORMATIE MOET MINIMAAL 3 MAANDEN BEWAARD BLIJVEN, EN GEDURENDE DIE TIJD KUNNEN WORDEN INGEZIEN. LOGGING-INFORMATIE OVER EEN VERMOED INCIDENT MOET 5 JAAR BEWAARD BLIJVEN. (BEPALING VIR, VIR-BI) 8. (DL/SL): VOOR ARCHIVERING VAN (CENTRALE) LOGBESTANDEN DIENT EEN HASH VAN HET LOGBESTAND GEMAAKT TE WORDEN, DIE APART WORDT GEARCHIVEERD. 56 van 68

57 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Inhoud van logging Inhoud van logregel Correcte tijdsinformatie Correcte systeemconfiguratie Geen gevoelige inhoud van logregel Integriteit van logbestanden Controle van integriteit van logbestanden Schrijftoegang tot logbestanden Leestoegang tot logbestanden Wijzigen en verwijderen logging Bewaartermijn logging Noteren van opschonen logging Controle op opslag van logging Technische beschikbaarheid logging Integriteit van beveiligingsinstellingen Correlatie en rapportage over gebeurtenissen Trendanalyses over gebeurtenissen Melden van beveiligingsgebeurtenissen Verzamelen van bewijsmateriaal 57 van 68

58 3.15 Patroon Backend-beheer Rationale: Servers hebben over het algemeen strenge beveiligingseisen; de beschikbaarheid moet hoog zijn, de informatie op de server mag niet door ongeautoriseerde personen worden ingezien en al helemaal niet ongeautoriseerd worden gewijzigd. Hetzelfde geld voor de netwerkinfrastructuur. Het beheer van deze systemen moet daarom aan bepaalde beveiligingseisen voldoen, om zo de een hoog niveau van vertrouwelijkheid, integriteit en beschikbaarheid te kunnen halen Context: Figuur 24 Backend-beheer binnen DWR Figuur 24 schetst de situatie rondom het backend-beheer binnen DWR. DWR servers en netwerkcomponenten, departementaal dan wel centraal, moeten worden beheerd. Dit omvat bijvoorbeeld het updaten van het besturingssysteem, het updaten van applicaties/diensten, het verhelpen van incidenten, etc. In dit patroon wordt geen onderscheid gemaakt tussen verschillende type beheerders (bijv. gericht op het besturingssysteem tegenover applicaties), de normen gelden in principe voor alle beheerders, ook voor externe beheerpartijen. De interne DWR systemen (de DWR servers en werkplekken) zijn direct gekoppeld aan het netwerk. Via een koppelvlak (van compartimenten, vertrouwde en onvertrouwde derden) hebben ook andere objecten toegang tot het DWR netwerk, dit is in vorige patronen toegelicht. Voor 58 van 68

59 beheer moeten extra beveiligingsmaatregelen genomen worden omdat beheertoegang meer rechten heeft. Deze maatregelen moeten ervoor zorgen dat het beheernetwerk logisch is gescheiden van andere, niet gerelateerde, netwerken (Zonering), dat onnodig verkeer niet wordt toegestaan (Filtering) en dat alleen beheerders toegang hebben tot het beheernetwerk (IAA). In het backend netwerk zelf wordt gezorgd dat de beschikbaarheid van het netwerk hoog is door waar nodig redundantie toe te passen (Continuiteitsvoorzieningen). De precieze netwerkinfrastructuur wordt bijgehouden, zoals de eigenschappen van de netwerkelementen en alle koppelingen (Vastleggen van gebeurtenissen). Meldingen die door de netwerkelementen worden gegenereerd worden opgeslagen en geanalyseerd, zodat incidenten worden gedetecteerd en afgehandeld (Controle, alarmering, rapportering). Hierdoor wordt het mogelijk om een hoog niveau van beschikbaarheid te halen Oplossing Figuur 25 Patroon backend-beheer Figuur 25 schetst de IB-functies en mechanismen voor het patroon backend-beheer. Toegang van beheer tot een server/component dient slechts onder strikte voorwaarden te geschieden om de beschikbaarheid, integriteit en vertrouwelijkheid van een servers, netwerkcomponenten en daarmee de DWR diensten te waarborgen. Beheer moet daarom plaatsvinden vanuit een aparte beheeromgeving (zonering) met beheeraccounts (functiescheiding) met beperkte rechten. Beheerders krijgen slechts toegang tot de beheeromgeving op basis van sterke authenticatie. 59 van 68

60 Operationele normen: Identificatie, authenticatie, autorisatie 1. (DL): BEHEER WORDT VANAF EEN CENTRAAL BEHEERSTATION UITGEVOERD VANUIT EEN APARTE BEHEEROMGEVING, HIERDOOR KUNNEN TOEGANGSRESTRICTIES STRICT WORDEN OPGELEGD. 2. (DL): IEDERE BEHEERDER HEEFT EEN PERSOONLIJK BEHEERDERSACCOUNT NAAST EEN EVENTUEEL MEDEWERKERSACCOUNT (FUNCTIESCHEIDING) 3. (DL): HET (PERSOONLIJKE) BEHEERDERSACCOUNT KRIJGT ALLEEN DIE RECHTEN DIE HET NODIG HEEFT VOOR HET BEHEER (HARDENING). 4. (DL): BEHEERDERS LOGGEN IN MET BEHULP VAN 2-FACTOR AUTHENTICATION, SPECIFIEK EEN TOKEN IN COMBINATIE MET EEN GEBRUIKERSNAAM EN WACHTWOORD/PIN. 5. (DL): BEHEERDERS MOETEN EEN NON-DISCLOSURE VERKLARING HEBBEN GETEKEND. 6. (DL): ER IS EEN FUNCTIESCHEIDING TUSSEN APPLICATIE-, DATABASE-, STORAGE-, NETWERK- EN SYSTEEMBEHEER. ONGEAUTORISEERDE BEHEERS HEBBEN DAARDOOR GEEN TOEGANG TOT DE INHOUD VAN INFORMATIE OBJECTEN. DE BVA IS EINDVERANTWOORDELIJK VOOR DE AUTORISATIES. Zonering 7. (DL): BEHEERTOEGANG TOT SYSTEMEN VIND ZOVEEL MOGELIJK PLAATS VIA EEN (LOGISCH GESCHEIDEN) BEHEERNETWERK, ZOWEL VOOR INTERNE ALS EXTERNE(DMZ S) NETWERKEN. Continuïteitsvoorzieningen 8. (DL): BEHEERTAKEN VINDEN ZOVEEL MOGELIJK VIA GESTANDAARDISEERDE METHODES PLAATS, D.W.Z. VIA SCRIPTS/APPLICATIES. 9. (DL): EEN KEER PER WEEK WORDEN DE SERVERS EN NETWERKCOMPONENTEN AUTOMATISCH IN KAART GEBRACHT, OM ZO ONGEAUTORISEERDE SYSTEMEN TE ONTDEKKEN, OF SYSTEMEN DIE ZIJN VERDWENEN. 10. (DL): EEN KEER PER JAAR WORDEN DE SERVERS EN NETWERKCOMPONENTEN HANDMATIG IN KAART GEBRACHT, OM ZO DE AUTOMATISCHE INVENTARISATIE TE CONTROLEREN. 11. (DL): ONBEKENDE APPARATEN, NAMELIJK SYSTEMEN DIE NIET TE HERLEIDEN ZIJN TOT EEN EIGENAAR/VERANTWOORDELIJKE, DIENEN AAN DE SECURITY OFFICER GERAPPORTEERD TE WORDEN. 12. (DL): BEHEERDERS BEWAKEN DE BESCHIKBAARHEID VAN DE DWR COMPONENTEN Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Bewaken beschikbaarheid componenten Eigen zone beheer Eén beheerinstantie per zone Gestandaardiseerd beheer 60 van 68

61 3.16 Patroon Data recovery Rationale: Omdat de dienst DWR een vastgesteld beschikbaarheidniveau moet halen is het maken van backups en de mogelijkheid tot restoren van de veiliggestelde data noodzakelijk. Als de data op een informatiesysteem onverhoopt beschadigd raakt moet het mogelijk zijn om terug te gaan naar een integere situatie. In dit patroon worden de maatregelen genoemd om op een veilige wijze de data recovery (backup & restore) cyclus in te richten Context: Figuur 26 Data recovery binnen DWR Figuur 26 schetst de situatie binnen DWR rondom data recovery. Als maatregel voor het realiseren van een hoge beschikbaarheid wordt de data die in de informatiesystemen is opgeslagen gebackupt (Continuïteitsvoorziening). Of dit succesvol is gebeurd moet worden gecontroleerd en vastgelegd (Vastleggen van gebeurtenissen). Een onmisbare methode van controle is het uitvoeren van proef-restores. Toegang tot de backup-informatie moet worden afgeschermd; alleen de noodzakelijke beheerders mogen toegang hebben. Dit kan door het gebruik van encryptie worden gerealiseerd (Zonering). De backups worden zowel on-site als off-site opgeslagen, wat weer een vorm van continuïteitsvoorziening is, en daar moet ook de fysieke toegang tot de backups worden afgeschermd tot alleen geautoriseerde personen (IAA). Ongeautoriseerde toegang moet worden gemeld, zodat er maatregelen getroffen kunnen worden (Controle, alarmering, rapportering). 61 van 68

62 Oplossing Figuur 27 Patroon Data recovery Figuur 27 schetst de IB-functies en mechanismen voor het patroon data recovery. Het maken van backups is een taak van beheer en de toegang (authorisatie) tot gemaakte backups dient beperkt te zijn tot de daarvoor verantwoordelijke beheerders om zo de beschikbaarheid, integriteit en vertrouwelijkheid van de op de backups opgeslagen data te kunnen waarborgen. Om dit te waarborgen dient ook zorgvuldig omgegaan te worden met de datadragers voor de backups en de procedures voor het maken van backups. De correcte werking van de datadrager zelf dient te worden gewaarborgd en bij opslag dient te worden gecontroleerd of de data correct is opgeslagen Operationele normen Continuïteitsvoorzieningen 1. (SL): ELKE BACKUP WORDT OP EEN APARTE DATADRAGER OPGESLAGEN 2. (SL): DAGELIJKS WORDT EEN INCREMENTELE BACKUP GEMAAKT VAN DE INFORMATIE OBJECTEN (DATA) 3. (SL): WEKELIJKS WORDT EEN FULL BACKUP GEMAAKT VAN DE INFORMATIE OBJECTEN (DATA) 4. (SL): ER WORDT EEN FULL BACKUP GEMAAKT VOOR EN NA IEDERE SOFTWARE UPDATE/PATCH 5. (SL): DAGELIJKSE BACKUPS WORDEN 1 MAAND BEWAARD 6. (SL): WEKELIJKSE BACKUPS WORDEN 3 MAANDEN BEWAARD 7. (SL): IEDERE 3 MAANDEN WORDT ER EEN RESTORE-TEST UITGEVOERD OM TE CONTROLEREN OF DE OPGELSAGEN DATA OOK ECHT TERUG GEHAALD KAN WORDEN 8. (SL): BACKUP MEDIA WORDT PERIODIEK VERVANGEN (AFHANKELIJK TYPE MEDIA) 9. (SL): BACKUPS VAN ONEVEN WEKEN WORDEN OFF-SITE BEWAARD, MINIMAAL 500 METER VAN DE ON-SITE LOCATIE GESCHEIDEN Controle, Alarmering, Rapportering 10. (SL): BESTAANDE BACKUPS WORDEN 1X PER JAAR GETEST OP INTEGRITEIT 11. (SL): ER WORDT GECONTROLEERD OF EEN BACKUP PROCES SUCCESVOL IS GEWEEST 62 van 68