Operationele Baseline Beveiliging DWR

Maat: px
Weergave met pagina beginnen:

Download "Operationele Baseline Beveiliging DWR"

Transcriptie

1 Operationele Baseline Beveiliging DWR Versie: 1.0 Datum:

2 Management samenvatting Dit document bevat een baseline van operationele beveiligingsmaatregelen gericht op de ICTvoorzieningen van de Digitale Werkomgeving Rijk (DWR). Het heeft een directe relatie met het Tactisch Normenkader Beveiliging DWR. De Operationele Baseline is een concrete invulling van de relevante normen uit het TNK. De eisen in het tactisch normenkader zijn op tactisch niveau geformuleerd en laten de diverse leveranciers van DWR-voorzieningen dus ruimte om eigen keuzes te maken ten aanzien van de operationele beveiligingsmaatregelen, mits hiermee aan de tactische eisen wordt voldaan. Hoewel het tactisch normenkader een goede basis biedt voor het realiseren van een gezamenlijk vastgesteld beveiligingsniveau voor DWR is het toch wenselijk om een deel van de tactische eisen uit te werken tot een baseline van operationele beveiligingsmaatregelen. Dat voor de meest belangrijke toepassingsgebieden. Dit dient de volgende doelen: ondersteuning bieden bij het implementeren van het tactisch normenkader; verminderen interpretatie verschillen vereenvoudigen van de toetsing; voorkomen van interoperabiliteits- of beheerproblemen. Interoperabiliteits- of beheerproblemen kunnen optreden wanneer leveranciers verschillende operationele invullingen kiezen om te voldoen aan het tactisch normenkader. In gevallen waar dit risico bestaat worden in deze operationele baseline specifieke operationele beveiligingsmaatregelen afgedwongen. Voor alle maatregelen in dit document geldt daarom het comply or explain principe. De operationele baseline is primair van toepassing op (en beperkt zich tot) alle ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR-Client en server based DWR-applicaties die door de departementen zelf worden beheerd. In het tactisch normenkader, en daarvan afgeleid in deze baseline, zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. In de opzet van dit document wordt uitgegaan van informatiebeveiligings (IB-) patronen. IBpatronen zijn te beschouwen als standaardoplossingen voor veelvoorkomende beveiligingssituaties en zijn herbruikbaar op diverse plaatsen binnen de ICT-voorzieningen van DWR. Per IB-patroon worden operationele beveiligingseisen benoemd, waarmee de selectie van relevante maatregelen voor een concrete implementatiesituatie wordt gefaciliteerd. Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend: Dienstleverancier Systeemleverancier Netwerkleverancier Voor alle eisen en richtlijnen is aangegeven op welke van bovenstaande rollen ze van toepassing zijn. Dit maakt het mogelijk om te bepalen welke subset van eisen aan een leverancier dient te worden opgelegd. 2 van 68

3 Versiebeheer Versie Datum Steller Veranderingen/commentaar EO Initiële versie SD Aanvulling met maatregelen vanuit GOUD EO Interne review verwerkt EO Inleiding, IB-patronen toegevoegd EO Indeling herzien, review André Smulders verwerkt EO, SD Review Cees Vaes verwerkt, model en patronen verder uitgewerkt EO, SD Intern review commentaar verwerkt, opgelijnd met [tnkdwr] BP Mgmt. samenvatting en inleiding aangepast, interne reviews verwerkt EO, SD Review commentaar verwerkt EO, SD Review commentaar verwerkt TM Review commentaar verwerkt 0.99j LG Review commentaar verwerkt 0.99k LG Review commentaar verwerkt LG Definitieve versie, vastgesteld door pb, geen inhoudelijke aanpassingen Auteur(s) EO SD BP TM LG Eddy Olk Sander Degen Bert Jan te Paske Twan van der Meer Leon Grinwis 3 van 68

4 Inhoudsopgave 1 Inleiding Doel van dit document Doelgroep Ontwikkeling document Afbakening Opzet Bronnen Samenhang met andere documenten Leeswijzer 11 2 Architectuur DWR Beveiligingsdomeinen Zonering en compartimentering DWR objecten 13 3 Beveiligingseisen en richtlijnen Patroon Generieke netwerkconfiguratie Patroongroep Koppelvlakken Subpatroon Beveiligd koppelvlak voor onvertrouwde netwerken Subpatroon Beveiligd koppelvlak voor vertrouwde netwerken Subpatroon Beveiligd koppelvlak voor compartimenten Patroongroep Systemen Subpatroon Generieke systeemconfiguratie Subpatroon Generieke werkplekconfiguratie (vaste en mobiele werkplek) Subpatroon Generieke serverconfiguratie Patroon Generieke applicatieconfiguratie Patroon Multifunctional-configuratie Patroon Authenticatie/Autorisatie Patroon Demilitarized Zone Patroon Logging/monitoring Patroon Backend-beheer Patroon Data recovery Addendum 1 - DWR-Client specifiek Addendum 2 Wijzigingen log 64 4 Referenties 65 5 Afkortingenlijst 66 6 Begrippenlijst 67 4 van 68

5 1 Inleiding Het voorliggende document is een resultaat van het programma DWR (Digitale Werkomgeving Rijk). De doelstelling van DWR is het leveren van een uniforme digitale werkomgeving, ondersteund door een interdepartementale infrastructuur, die Rijksambtenaren toegang geeft tot alle informatie en functionaliteit die nodig is om hun taken alleen en in gezamenlijkheid te kunnen vervullen [progdwr]. Het programma DWR is gevormd door de bundeling van diverse lopende rijksbrede ICT-initiatieven, waaronder Rijksweb en GOUD. De door het programma DWR opgeleverde resultaten zullen in beheer worden genomen door een staande organisatie die verantwoordelijk wordt voor de levering van DWR-voorzieningen aan de afnemende departementen. De Digitale Werkomgeving Rijksdienst biedt de rijksmedewerker op elk gewenst moment op elke plaats de voorzieningen om op veilige wijze te beschikken over de digitale informatie die hij voor zijn werk nodig heeft. 1.1 Doel van dit document In het Tactisch Normenkader Beveiliging DWR [tnkdwr] worden eisen geformuleerd aan de ICTvoorzieningen van DWR en de (beheer-)omgeving van die ICT-voorzieningen. De eisen zijn op tactisch niveau geformuleerd en laten de diverse leveranciers van DWR-voorzieningen dus ruimte om eigen keuzes te maken ten aanzien van de operationele beveiligingsmaatregelen, mits hiermee aan de tactische eisen wordt voldaan. Hoewel het tactisch normenkader een goede basis biedt voor het realiseren van een gezamenlijk vastgesteld beveiligingsniveau voor DWR is het toch wenselijk om een deel van de tactische eisen uit te werken tot een baseline van operationele beveiligingsmaatregelen. Dit dient de volgende doelen: a. ondersteuning bieden bij het implementeren van het tactisch normenkader; b. vereenvoudigen van de toetsing; c. voorkomen van interoperabiliteits- of beheerproblemen. Ad a. Het vertalen van tactische eisen naar operationele beveiligingsmaatregelen voor een specifieke ICT-voorziening is niet triviaal. Een document dat relevante maatregelen voorstelt voor veel voorkomende voorzieningen geeft daaraan richting. Ad b. Hoewel formele toetsing altijd zal plaatsvinden tegen het tactisch normenkader is de implementatie van operationele maatregelen eenvoudiger vast te stellen. Door maatregelen in de operationele baseline te implementeren kan een leverancier aantonen dat aan een deel van de tactische normen wordt voldaan (namelijk het deel dat door de betreffende maatregelen wordt ingevuld). 5 van 68

6 Ad c. In sommige gevallen is het niet voldoende om uniforme eisen op tactisch niveau op te leggen. Leveranciers zullen met verschillende operationele implementaties weliswaar het vereiste beveiligingsniveau halen, maar problemen kunnen ontstaan met betrekking tot interoperabiliteit of beheerbaarheid. In zulke gevallen dient een specifieke operationele invulling van de tactische norm te worden afgedwongen. De operationele baseline is er op gericht om voor een periode van enkele jaren toepasbaar te zijn. Geadviseerd wordt om de baseline tenminste jaarlijks te toetsen en waar nodig bij te stellen zodat wijzigingen in de opzet en scope van DWR hun weerslag krijgen in de te nemen beveiligingsmaatregelen. 1.2 Doelgroep De doelgroep van dit document bestaat uit de partijen die betrokken zijn bij de ontwikkeling, implementatie, het beheer en de afname van de DWR ICT diensten. Tevens zal dit document gebruikt worden, als referentie, door controlerende instanties (auditors). 1.3 Ontwikkeling document Deze operationele baseline is het resultaat van de samenwerking van experts van departementen, DWR en TNO. De basis voor dit document is afkomstig van GOUD. Tijdens de ontwikkeling van de operationele baseline hebben afgevaardigden van alle departementen informatie geleverd om het document aan te laten sluiten bij de behoeften van de departementen. Als afsluiting hebben deze personen ook bijgedragen aan de finale review. De bemerkingen van deze review zijn verwerkt in het document. 1.4 Afbakening De scope van deze operationele baseline wordt afgebakend door a. de beveiligingsaspecten waarop de eisen betrekking hebben; b. waar de eisen en richtlijnen toepasbaar zijn (het bereik). Ad a. In het tactisch normenkader zijn eisen geformuleerd aan zowel de ICT-voorzieningen zelf als de omgeving waarin die ICT-voorzieningen worden geplaatst en beheerd. De scope van deze operationele baseline beperkt zich tot (technische) eisen en richtlijnen aan de ICT-voorzieningen en doet geen uitspraak over (fysieke en procedurele) beveiligingseisen aan de omgeving. Ook de organisatorische inrichting, die moet borgen dat de in dit document genoemde beveiligingsmaatregelen uitgevoerd kunnen worden, valt buiten de scope van dit document. Ad b. De beveiligingsmaatregelen in deze operationele baseline zijn gegroepeerd naar patronen (zie 1.5). Deze patronen bepalen de structuur van het document. Eisen uit het tactisch normenkader die geen relevantie hebben binnen de beschreven patronen zijn dan ook niet op operationeel niveau uitgewerkt. Dit geldt bijvoorbeeld voor de eisen aan de omgeving (zie ook ad a), concreet 6 van 68

7 zijn deze opgenomen in hoofdstuk 3 Beveiliging omgeving ICT voorzieningen van het tactische normenkader [tnkdwr]. De eisen en richtlijnen in de baseline zijn (net als die in het tactisch normenkader) van toepassing op alle voorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR-Client en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit laatste geval heeft een departement niet de rol van afnemer, maar die van leverancier van beheerdiensten aan DWR. In het tactisch normenkader, en daarvan afgeleid in deze baseline, zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. Eisen aan het gebruik van de DWRvoorzieningen (bijvoorbeeld ten aanzien van de fysieke beveiliging van de werkomgeving of de wijze van omgaan met vertrouwelijke informatie) maken geen deel uit van dit document. 1.5 Opzet IB-patronen In de opzet van deze operationele baseline wordt uitgegaan van informatiebeveiligings (IB-) patronen. IB-patronen zijn te beschouwen als standaardoplossingen voor veelvoorkomende beveiligingssituaties en zijn herbruikbaar op diverse plaatsen binnen de ICT-voorzieningen van DWR. Per IB-patroon worden operationele beveiligingseisen en richtlijnen benoemd, waarmee de selectie van relevante maatregelen voor een concrete implementatiesituatie wordt gefaciliteerd. Typerend aan het denken in- en werken met patronen is: het niet voor elke situatie ontwikkelen van een maatwerkoplossing het niet voor elke nieuwe businessfunctie uitvoeren van een risicoanalyse het plaatsen van maatregelen in context en samenhang Kenmerkend voor patronen is dat deze: een standaard oplossingsbeschrijving zijn voor generiek probleem meerdere (tactische) normen invullen beperkt zijn in aantal breed toepasbaar zijn en niet specifiek voor één situatie als uit vakkennis gestolde bouwsteen fungeren een taal vormen om samen op een hoger conceptueel niveau over een ontwerp te praten Dit document volgt de wijze waarop NORA patronen toepast. Bedrijfsobjecten kennen eisen ten aanzien van IB-aspecten (beschikbaarheid, integriteit en vertrouwelijkheid). Vanuit het van de architectuur afgeleide beschouwingmodel, het IB-functiemodel en IB-normen wordt het IB- Overzichtsmodel gecreëerd bestaande uit IB-patronen (zie onderstaande figuur). Patronen dekken in de regel meerdere IB-normen af en zijn beschreven in oplossingsvorm. Het werken met patronen is eenvoudiger, doelmatiger en beter controleerbaar dat het alternatief bestaande 7 van 68

8 het werken vanuit vele (in de praktijk vaak honderden) losse normen. Voor meer informatie wordt verwezen naar NORA (security katern). Bedrijfsobjecten eisen IB-aspecten Beschouwingsmodel IB-functiemodel IB-normen IB-Overzichtsmodel IB-patroon Figuur 1 Patroon ontwikkeling Binnen de NORA definitie bevat een patroon: De naam van het patroon Criteria van beveiliging waarvoor het patroon werkt Context waarin dit patroon zinvol is Probleem dat ermee wordt opgelost Oplossing die het biedt Overwegingen die gemaakt worden Praktijkvoorbeelden van de toepassing ervan Gevolgen van het gebruik Relatie met andere patronen Relatie met de normen Overige aspecten, verwijzing naar bronnen, etc. Dit document bevat een ten opzichte van deze definitie vereenvoudigde vorm en aan de oplossing gekoppelde operationele normen (sub-optimaal). Het document zal tijdens het gebruik ervan (de praktijk) dienen te evolueren naar een hoger volwassenheidsniveau (wat ook geldt voor het gebruik zelf) Relatie tactisch normenkader In deze baseline zijn patronen opgenomen die beschrijven hoe IB-normen uit het tactisch normenkader dienen te worden geoperationaliseerd in hun toepassingsgebied. Belangrijk in gedachten te houden hierbij is dat: De baseline niet tot doel heeft alle tactische normen, te vertalen naar operationele normen voor elk mogelijk toepassingsgebied. Wat zou leiden tot onwerkbaar veel losse normen (1 op N relatie). In tegenstelling daarmee heeft deze baseline als doel voor essentiële toepassingsgebieden patronen vast te stellen en daarin de operationalisering van de relevante 8 van 68

9 tactische normen te bundelen (N op 1). Dat leidt tot meer doelmatigheid, werkbaarheid en controleerbaarheid. De relatie tussen het tactisch normenkader en deze baseline wordt gelegd vanuit de patronen. Elk patroon bevat een overzicht van de voor het relevante toepassingsgebied van dat patroon geoperationaliseerde tactische normen. Het tactisch normenkader een basis beveiligingsniveau kent. De in deze baseline opgenomen oplossingen en normen zijn van toepassing op dat basis beveiligingsniveau. De oplossing beschreven binnen het patroon, invulling geeft aan de relevante tactische eisen binnen het betreffende toepassingsgebied. Dat aangevuld en/of aangescherpt met operationele normen eveneens opgenomen in het betreffende patroon Rollen Niet alle eisen en richtlijnen in de operationele baseline zijn relevant voor alle partijen die betrokken zijn bij de levering en het beheer van DWR-voorzieningen. Hierbij kunnen de volgende rollen worden onderkend: DL SL NL Rol Dienstleverancier Deze levert een dienst; dit kan een applicatie zijn die direct door eindgebruikers kan worden benaderd of een ondersteunende dienst. Systeemleverancier Deze levert de (niet-netwerk-) systemen die de dienstleveranciers in staat stelt om hun diensten aan te bieden. Netwerkleverancier Deze levert de netwerkinfrastructuur. Onderdelen hiervan zijn bijvoorbeeld routers, switches, netwerkkabels en patchkasten. Niveau Applicaties Systemen Communicatie In de operationele baseline is per norm aangegeven voor welke rollen deze van toepassing is. Opgemerkt moet worden dat deze (uitvoerende) rollen door verschillende partijen ingevuld zullen worden en dat een partij meerdere rollen kan vervullen. Ondanks het eventueel laten uitvoeren van bepaalde werkzaamheden door derden en de daarmee samenhangende verantwoordelijkheid voor de uitvoering, blijft de eindverantwoordelijkheid liggen bij de ketenverantwoordelijke Comply or Explain principe De oplossingen en normen in deze baseline zijn van het type comply or explain. Dit betekent dat elke partij waarop deze baseline van toepassing is dient te voldoen (comply), maar ook de mogelijkheid bestaat een comply status te verwerven middels een explain. Dit zou zich kunnen voordoen als een partij: - voor een andere (vergelijkbare) operationele invulling kiest (met hetzelfde effect), mits beargumenteerd en goedgekeurd - niet (volledig) voldoet, mits beargumenteerd en goedgekeurd 9 van 68

10 Dit onderwerp raakt sterk aan het gebruik van deze baseline en handhaving. Deze onderwerpen zijn van belang, maar buiten de scope van dit document Basis niveau Operationalisering van deze baseline leidt tot het realiseren van het basis beveiligingsniveau (zie [tnkdwr]. Het realiseren van een hoger niveau door meer of zwaardere maatregelen is toegestaan mits deze de interoperabiliteit niet schaden. 1.6 Bronnen De oplossingen en normen in dit document, zijn afgeleid van de door departementen in de loop van de tijd opgebouwde en hier ingebrachte expertise en ervaring (best practices). Tenzij anders aangegeven, is dit waar de eisen of normen hun oorsprong vinden. Vanzelfsprekend is dit document slechts een momentopname en zal daarom continue op de zich veranderende praktijk en situatie moeten worden afgestemd. 1.7 Samenhang met andere documenten Het Tactisch Normenkader Beveiliging DWR [tnkdwr] vormt de basis voor deze operationele baseline, waarbij de patronen in dit document een uitwerking op operationeel niveau vormen van tactische eisen uit het normenkader. Leveranciers van ICT-voorzieningen voor DWR zijn gehouden om aan de eisen in beide documenten te voldoen. Naast het tactisch normenkader heeft het GOUD document Operationele technische beveiliginsmaatregelen GOUD 0.91 als basis gediend voor dit document. De vastgestelde versie van dit document vervangt het genoemde GOUD document. Het Implementatie Ontwerp Compartimentering DWR [implcomp] geeft ontwerprichtlijnen en aanbevelingen voor de realisatie van compartimenten. Compartimentering is een vorm van zonering op netwerkniveau en één van de beveiligingsmaatregelen die wordt voorgesteld in deze operationele baseline. Compartimentering dient zowel te worden toegepast door leveranciers van DWR-voorzieningen, als door de departementen die de DWR-voorzieningen afnemen. Bij de eerste doelgroep moet het implementatie-ontwerp compartimentering worden gezien als een aanvulling op deze operationele baseline. Bij de tweede doelgroep maakt het onderdeel uit van de aansluitvoorwaarden van DWR waaraan de afnemende departementen van bepaalde diensten moeten voldoen. Het Normenkader Informatiebeveiliging Rijksweb [nir] bevat de normen voor het waarborgen van een adequaat niveau van beveiliging van Rijksweb (nu DWR). De normen zijn gericht op informatiebeveiliging en geformuleerd op tactisch niveau en gebaseerd op het niveau WBP risicoklasse 2. Het tactisch normenkader en de operationele baseline DWR overlappen het [nir] en zullen op termijn geconsolideerd worden binnen bredere consolidatieslag t.a.v. IB normenkaders. 10 van 68

11 Het Normenkader Mobiele Informatiedragers Rijksoverheid [mdd] vormt een interdepartementaal normenkader voor beveiliging van en veilige omgang met mobiele informatiedragers. Het tactisch normenkader en de operationele baseline DWR gaan uit van genoemde normenkader. Voor normen t.a.v. mobiele informatiedragers,wordt naar [mdd] verwezen. 1.8 Leeswijzer In Hoofdstuk 2 wordt de architectuur van DWR beschouwd vanuit beveiligingsperspectief. Daarbij wordt een beschouwingsmodel gepresenteerd dat relevante beveiligingsdomeinen onderscheidt, en wordt de rol van zonering en compartimentering verder uitgewerkt. Ook worden de DWR-voorzieningen benoemd die nu worden voorzien. Hoofdstuk 3 vormt de hoofdmoot van het document. Hier worden de operationele beveiligingseisen en richtlijnen uitgewerkt. Iedere paragraaf behandelt een patroon. In de hoofdstukken 4, 5, en 6 worden respectievelijk referenties, afkortingen en gebruikte begrippen opgesomd en verklaard. Bijlage A tenslotte geeft aan welke patronen van toepassing kunnen zijn op bepaalde DWR objecten. 11 van 68

12 2 Architectuur DWR Dit hoofdstuk geeft het gehanteerde beschouwingsmodel DWR zoals dat gebruikt is voor invulling van beveiligingsmaatregelen voor de operationele baseline. Dit model dient op periodieke basis te worden getoetst aan de daadwerkelijke inrichting van DWR. Bij een mismatch zal waar nodig bijstelling van het beschouwingsmodel en de operationele baseline nodig zijn. 2.1 Beveiligingsdomeinen Figuur 2 Beschouwingsmodel Voor DWR kan een beschouwingsmodel op basis van beveiligingsdomeinen worden opgesteld zoals geschetst in Figuur 2, zie [implcomp]. Er is hierbij een aantal beveiligingsdomeinen te onderscheiden. Het externe domein wordt vanuit de Rijksdienst als onvertrouwd gezien. Dit omvat Internet en externe partijen met een onbekend beveiligingsniveau. Het publieke sector domein is voor de Rijksdienst ook extern maar partijen hierin zijn mogelijk semi-vertrouwd wanneer zij zich conformeren aan bijvoorbeeld NORA [nora], WBP [wbp], ISO27002 [cvib], e.d. Het Rijksdienst beveiligingsdomein omvat organisaties die het VIR [vir] (en soms ook VIR-BI [virbi]) hanteren. In dit domein heeft elke organisatie zijn eigen organisatiebeveiligingsdomein en beschouwen partijen elkaar normaliter als extern maar soms als semi-vertrouwd aangezien er 12 van 68

13 meer zekerheid is over het beveiligingsniveau dan bij partijen uit het externe domein. Binnen het Rijksdienst beveiligingsdomein is het DWR beveiligingsdomein te onderkennen dat bestaat uit organisaties die zich conformeren aan het tactisch normenkader informatiebeveiliging DWR [tnkdwr]. Op basis hiervan kunnen organisaties in dit domein zich op het vlak van de DWR ICTvoorzieningen (Rijkssamenwerkingsmogelijkheden) zien als vertrouwd. Binnen het DWR beveiligingsdomein valt ook dat deel (het DWR VPN) dat gebruikt wordt voor realiseren van de connectiviteit tussen de diverse organisaties binnen DWR (departementen, centrale DWR diensten). 2.2 Zonering en compartimentering Beveiligingsdomeinen worden bepaald door aspecten zoals de betrokken organisatie(s), onderlinge vertrouwensniveaus, wet- en regelgeving die van toepassing is, etc. Met betrekking tot de concrete inrichting van ICT-voorzieningen (de scope van deze operationele baseline) wordt ook wel het begrip zone gehanteerd. Een zone is hierbij gedefinieerd als een logische clustering van componenten (systemen, netwerken, diensten) die een vergelijkbaar security profiel hebben en veelal vallen onder de verantwoordelijkheid van één enkele organisatie; een groepering van objecten met vergelijkbare risico s, vertrouwensniveaus, of beveiligingsbehoeften e.d. Zonering kan worden toegepast op verschillende niveaus: netwerk, applicaties, fysieke ruimten, etc. Tussen zones vindt gecontroleerde uitwisseling van informatie plaats via zogenaamde beveiligde koppelvlakken. De mate van controle houdt verband met het vertrouwensniveau dat bepaald is tussen de zones. In het [tnkdwr] is in dergelijke situaties zonering gesteld als eis. Een zone op het netwerkniveau is nog verder op te delen in compartimenten. Een zone kan zelfs ook een enkel compartiment zijn. Voor GOUD en DWR is een compartimenteringsmodel opgezet en de implementatie hiervan vastgelegd in [implcomp]. Compartimentering kan worden gebruikt voor het inrichten van beveiligde koppelvlakken maar is op zichzelf hiervoor niet voldoende aangezien het beperkt is tot het netwerkniveau. De compartimentering zelf is buiten scope van dit document. Dit document en het document Implementatie ontwerp Compartimentering DWR zijn echter onlosmakelijk met elkaar verbonden. 2.3 DWR objecten De DWR ICT-voorzieningen waar dit beveiligingsdocument op van toepassing is, kunnen worden onderverdeeld in drie verschillende niveaus van objecten: 1. Diensten, geleverd door dienstleveranciers (DL); 2. Systemen, geleverd door systeemleveranciers (SL); 3. Netwerken, geleverd door netwerkleveranciers (NL). De rollen van dienstleverancier, systeemleverancier en netwerkleverancier kunnen worden ingevuld door een departement zelf, maar ook door SSO of externe leveranciers. Dienst objecten omvatten diensten op applicatieniveau die geleverd worden ten behoeve van DWR. De beschouwde diensten voor de operationele baseline zijn vooralsnog: DWR-Portaal, een rijksbreed intranet van waaruit informatie en applicaties worden ontsloten. 13 van 68

14 Samenwerkingsfunctionaliteit (SWF), hiermee kunnen groepen gebruikers on-line samenwerken. RijksDNS, de centrale voorziening voor DNS (zowel richting Internet als intranet) RijksDirectory, de rijksbrede Directory Service die gevoed wordt met informatie vanuit de departementale Directory Services. RijksMail, de geconsolideerde voorziening voor de Rijksdienst waarbij alle gebruikers een adres krijgen eindigend Rijks-mail voorziet in het bieden van functionaliteit zowel tussen departementen (binnen DWR) als met partijen buiten de rijksoverheid. Rijks-Internet, de centrale voorziening voor leveren van Internet connectiviteit. Rijks-Connect, de dienst die zorgt voor een veilige en betrouwbare koppeling van netwerken tussen overheden en externe leveranciers. Rijks-NTP, tijdsdienst die gebruikt kan worden door systemen binnen de overheid voor tijdssynchronisatie. Systeem objecten omvatten: Desktops, computersystemen die zijn ingericht als DWR-Client voor eindgebruikers van DWR. Desktop systemen staan vast opgesteld bij een organisatie. Laptops, computersystemen die zijn ingericht als DWR-Client voor eindgebruikers van DWR. Laptops zijn veelal persoonsgebonden, zijn niet altijd met een netwerk verbonden en worden niet altijd alleen binnen een gebouw van de organisatie gebruikt. Servers, computersystemen die specifiek ingericht zijn voor het (deels) leveren van DWR diensten. Randapparatuur zoals printers, MFCs, en PDA/MDAs. Netwerk objecten omvatten: DWR-Infra, dit bevat de verschillende departementale netwerksegmenten die voor DWR gebruikt worden, alsook het interdepartementale netwerksegment en de koppelingen daartussen. Het interdepartementale netwerksegment is een centraal netwerk waarin interdepartementale diensten worden aangeboden. Rijksweb VPN, externe koppeling naar organisaties die op Rijksweb zijn aangesloten. 14 van 68

15 3 Beveiligingseisen en richtlijnen Dit hoofdstuk bevat de uitwerking van het tactisch normenkader in patronen. Er wordt geen volledigheid in het aantal patronen gepretendeerd. Het aantal is uitbreidbaar, voor deze versie zijn de voor de Rijksdienst en implementatie van DWR meest belangrijke patronen uitgewerkt. Voor de volledigheid wordt nog vermeld dat de uitwerking in de operationele baseline zich beperkt tot technische maatregelen. Fysieke en procedurele maatregelen zijn buiten beschouwing gelaten. Zoals toegelicht in 1.5.1, is gekozen voor gebruik van IB-patronen om de beveiligingsmaatregelen te structureren en toepasbaarder te maken. Een patroon bestaat uit de volgende onderdelen: Rationale. De rationale beschrijft vanuit welk oogpunt het patroon is opgezet. Dit is vaak een probleem dat kan worden opgelost door middel van de normen en richtlijnen in het patroon. Context. De context schetst de omgeving waarop het patroon van invloed is. Dit dient ook om duidelijk te maken wat wel binnen de scope van het patroon valt en wat niet. Oplossing. De oplossing schetst hoe het probleem beschreven in de context kan worden opgelost. Bij elke oplossing wordt aan de hand van een figuur aangegeven hoe de oplossing op hoofdlijnen werkt, wat de beveiligingsfuncties zijn die worden ingevuld en welke beveiligingsmechanismen daarvoor gebruikt worden. Normen. De normen omvatten de lijst van operationele eisen die invulling geven aan de oplossing. Per norm is aangegeven of ze voor de Dienstleverancier (DL), Systeemleverancier (SL) of Netwerkleverancier (NL) van toepassing zijn. Een norm is altijd bindend. Relatie. De relatie met de tactische normen. 15 van 68

16 3.1 Patroon Generieke netwerkconfiguratie Rationale: De netwerkomgeving maakt communicatie tussen verschillende onderdelen van DWR mogelijk. Er is sprake van een netwerkketen, dit betekent dat het niveau van beveiliging van de individuele schakels invloed kan hebben op dat van andere schakels. Dit patroon beschrijft daarom de generieke maatregelen die genomen moeten worden in de netwerkinfrastructuur om de meest voorkomende risico s te verminderen Context: Figuur 3 Netwerken binnen DWR De netwerkinfrastructuur van DWR, zie Figuur 3, maakt de communicatie tussen de DWR systemen mogelijk. Om deze communicatie te beveiligen wordt gebruik gemaakt van koppelvlakken tussen de verschillende objecten. Op de koppelvlakken wordt in de volgende patronen ingegaan. Het backend netwerk bestaat uit verschillende netwerkelementen, van routers en switches tot netwerkkabels en firewalls. Hoe deze dienen te worden gebruikt en ingericht staat in dit patroon beschreven. Het feit dat netwerkbeheer binnen DWR ondergebracht is onder een aantal verschillende partijen (denk aan de Haagse Ring, de departementaal beheerde netwerken, de netwerken die door de SSO worden beheerd en het netwerk in de hosting omgeving) benadrukt het belang van een gezamenlijk gedragen beveiligingsniveau: Een ketting is zo sterk als zijn zwakste schakel. 16 van 68

17 3.1.3 Oplossing Netwerk Lokaal netwerk WAN Zonering Identificatie, Authenticatie, Autorisatie Zonering Hardening Continuïteitsvoorzieningen Controle Alarmering Rapportering Logische scheiding Netwerk toegangscontrole Compartimentering Geen overbodige applicaties/ services Patching Redundantie: Fail-over Standby Geen SPoF Tijdssynchronisatie Logging Figuur 4 Patroon netwerkconfiguratie Figuur 4 schetst de IB-functies en mechanismen van het patroon voor netwerkconfiguratie. De netwerkconfiguratie is gericht op waarborgen van integriteit en beschikbaarheid van de netwerkinfrastructuur. Daartoe dient het netwerk gescheiden (ten minste logisch) te zijn van andere niet relevante netwerken (zoals bijvoorbeeld een testomgeving). Het netwerk dient hoog beschikbaar te zijn (99,5% of hoger), eventueel te bereiken door redundantie, automatische failover, etc. Bij toepassing van redundantie zijn er geen Single Points of Failure. Het netwerk dient alleen te bestaan uit geautoriseerde componenten en het netwerk dient afgeschermd te zijn zodat het niet mogelijk is om willekeurige apparatuur aan te sluiten. Voor de toegang tot de netwerkcomponenten dient authenticatie plaats te vinden. Daarnaast is de integriteit van de netwerkcomponenten gebaat bij hardening. Om de beschikbaarheid te bewaken dient signalering plaats te vinden bij performance problemen van componenten. Tot slot is ongeautoriseerde toegang tot het netwerk niet mogelijk. Bijvoorbeeld door fysieke maatregelen (toegang tot ruimten met netwerktoegang), technische maatregelen zoals 801.1X of Network Access Control (NAC), of procedurele maatregelen in combinatie met minimaal port-security of dynamische VLAN toewijzing Operationele normen: Zonering 1. (NL): HET NETWERK DIENT MINIMAAL LOGISCH GESCHEIDEN TE ZIJN VAN ANDERE NIET-RELEVANTE NETWERKEN (WAARONDER ONTWIKKEL, TEST EN ACCEPTATIE NETWERKEN). 2. (NL): BIJ TOEPASSING VAN ONTWIKKEL,TEST EN/OF ACCEPTATIE NETWERKEN WORDEN DEZE MINIMAAL LOGISCH GESCHEIDEN VAN HET PRODUCTIE NETWERK. 3. (NL): INTERN DATAVERKEER GETRANSPORTEERD OVER ONVERTROUWDE NETWERKEN DIENT TE WORDEN VERSLEUTELD. 17 van 68

18 4. (NL): ER IS EEN MINIMAAL LOGISCH GESCHEIDEN NETWERK DAT VOOR BEHEERDOELEINDEN WORDT GEBRUIKT. Identificatie, authenticatie, autorisatie 5. (SL): ALLEEN DOOR NETWERKBEHEER GEAUTORISEERDE NETWERKAPPARATUUR WORDT TOEGEPAST BINNEN HET DWR NETWERK. 6. (NL): DE NETWERKINFRASTRUCTUUR ONDERSTEUNT 802.1X - PORT BASED NETWORK ACCESS CONTROL PROTOCOL. 7. (NL): ONGEAUTORISEERDE TOEGANG TOT HET NETWERK IS NIET MOGELIJK. DIT KAN VIA TECHNIEK (802.1X, NAC) MAAR OOK VIA FYSIEKE MAATREGELEN (TOEGANG TOT DE RUIMTEN MET NETWERKTOEGANG) OF VIA PROCEDURES IN COMBINATIE MET MINIMAAL PORT-SECURITY. Hardening 8. (NL): ALLE NETWERKCOMPONENTEN MOETEN ZIJN GEHARDENED, D.W.Z. DAT ER GEEN OVERBODIGE DIENSTEN OP DRAAIEN EN DAT ALLE SOFTWARE UP-TO-DATE IS. 9. (NL): ER WORDT VOOR DE NETWERKELEMENTEN GEBRUIK GEMAAKT VAN STANDAARD ALGORITMEN, MINIMAAL AES 128 OF GELIJKWAARDIG, DIE ROBUUST ZIJN TEGEN MISBRUIK. 10. (NL): DAAR WAAR MOGELIJK WORDEN PRODUCTEN GEBRUIKT DIE VOLGENS EEN INTERNATIONAAL GEACCEPTEERDE STANDAARD/ORGANISATIE GEËVALUEERD ZIJN. DE COMMON CRITERIA EVALUATIES ZIJN HIERBIJ EEN GOED UITGANGSPUNT. Continuïteitsvoorzieningen 11. (NL): HET NETWERK DIENT VOOR DWR GEBRUIKERS EEN MINIMALE BESCHIKBAARHEID TOT DE KRITISCHE SERVERS (AD/DC) TE BIEDEN VAN MINIMAAL 99,5%. 12. (NL) DE NETWERK COMPONENTEN DIENEN GEBRUIK TE MAKEN VAN EEN EN DEZELFDE TIJDBRON (NTP), NAMELIJK DE TIJD VAN DE HAAGSE RING (NTP SERVICE). Controle, Alarmering, Rapportering 13. (NL): DE NETWERKCOMPONENTEN STUREN LOGINFORMATIE M.B.T. PERFORMANCE NAAR EEN LOGSERVER WAARDOOR BESCHIKBAARHEIDSPROBLEMEN TIJDIG WORDEN GESIGNALEERD. 14. (NL): ALLE NETWERKKOPPELINGEN WORDEN VASTGELEGD EN ZIJN VOOR GEAUTORISEERDE GEBRUIKERS INZICHTELIJK. 15. (NL): DE NETWERKHARDWARE ZOALS ROUTERS EN SWITCHES DIENEN CENTRAAL WACHTWOORDMANAGEMENT TE ONDERSTEUNEN, ZODAT WACHTWOORDEN VANAF EEN CENTRAAL PUNT GEWIJZIGD KUNNEN WORDEN. Interoperabiliteit/beheer 16. (NL): HET MOET MOGELIJK ZIJN OM VERSLEUTELDE INFORMATIE OVER HET NETWERK TE VERSTUREN Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Redundante uitvoering componenten Redundante uitvoering verbindingen Geen Single Point of Failure (SpoF) bij redundantie Locatie-onafhankelijkheid Automatische opvang van uitval Gegevensencryptie Versleuteling Gebruik standaard algoritmen Gebruikt robuuste algoritmen Scheiding naar doel Geen beïnvloeding OTA & P Fysieke zone scheiding 18 van 68

19 4.1.7 Eigen zone beheer Hardening Vastlegging koppelingen Beschermen continuïteit 19 van 68

20 3.2 Patroongroep Koppelvlakken Rationale: DWR heeft koppelingen met andere netwerken, dit zijn zowel onvertrouwde (bijvoorbeeld koppelingen aan netwerken waar ook externe partijen op zijn aangesloten) als vertrouwde (bijvoorbeeld koppeling van het departementaal deel van DWR aan het centraal deel van DWR) netwerken. Computersystemen kunnen kwetsbaar zijn voor netwerkgebaseerde aanvallen. Het gebruik van een koppelvlak bij het koppelen van netwerken zorgt ervoor dat de koppeling geen afbreuk doet aan het algehele beveiligingsniveau van DWR. Door gebruik van een koppelvlak zijn de systemen binnen een netwerk afgeschermd en kan het risico van netwerkgebaseerde aanvallen worden verlaagd terwijl de systemen wel op een beheerbare en functionele manier worden ontsloten. De wijze van inrichting van het koppelvlak hangt af van de mate waarin het andere netwerk vertrouwd wordt en de informatie die wordt uitgewisseld. Koppeling met Internet verdient speciaal de aandacht omdat een Internetverbinding door iedereen gebruikt kan worden om een communicatieverbinding met DWR systemen op te zetten. Daarom is het van belang dat dit verkeer geïnspecteerd en gefiltert wordt op mogelijke dreigingen. Hierdoor kan de integriteit en beschikbaarheid van de DWR systemen worden verhoogd. Daarnaast gaat ook verkeer vanuit DWR naar het Internet; ook hierbij is het van belang dat ongewenst verkeer (denk aan wormen, virussen, maar ook aan specifieke aanvallen) gefilterd wordt om imagoschade te voorkomen. 20 van 68

21 3.2.2 Context: Heteronome omgeving (DWR standaard) Rijks-Internet Rijke samenwerkingsmogelijkheden Rijks-DNS Rijks-Connect Organisatie DWR VPN Haagse Ring BKN Organisatie Mail Relay Rijksweb VPN Organisatie Etalage (DMZ) Autonome omgeving (pre DWR situatie) Beperkte samenwerkingsmogelijkheden 1 1 Etalage (DMZ) Organisatie Autonome omgeving (pre DWR situatie) Beveiligd autonoom koppelvlak Beveiligd heteronoom transit koppelvlak Beveiligd heteronoom compartimentskoppelvlak Internet Figuur 5 Koppelvlakken binnen DWR Figuur 5 geeft de verschillende netwerkomgevingen die kunnen worden onderscheiden binnen DWR en de koppelvlakken daartussen. De netwerkarchitectuur voor DWR is op het laagste niveau onderverdeeld in verschillende compartimenten volgens [implcomp]. Elk type compartiment (kluis, kamer, lounge) heeft een eigen beveiligingsniveau, waarbij een kluis-compartiment het meest restrictief is en een loungecompartiment het minst. Door het netwerk onder te verdelen in compartimenten wordt het beheer eenvoudiger: filter-regels worden bijvoorbeeld niet meer gebaseerd op individuele systemen maar op compartimenten. Daarnaast zorgt een gemeenschappelijke netwerkzonering (elk departement gebruikt dezelfde methodiek) er voor dat de samenhang en compatibiliteit optimaal is waardoor er minder problemen voor de beschikbaarheid te verwachten zijn. Koppelvlakken voor compartimenten zijn in Figuur 5 aangegeven met cijfer 3. De netwerkarchitectuur voor DWR is op te splitsen in departementale netwerkzones en een centrale netwerkzone. Hoewel in principe het beveiligingsniveau identiek is, omdat overal dezelfde beveiligingsmaatregelen genomen worden, is ook hier een koppelvlak nodig; niet zozeer voor preventie van incidenten maar voor de detectie ervan. Dit maakt het achterhalen van de bron en oorzaak van (beveiligings-) incidenten eenvoudiger, waardoor problemen sneller opgelost kunnen worden en het beveiligingsniveau gehandhaafd blijft. Koppelvlakken voor vertrouwde netwerken zijn aangegeven met cijfer van 68

22 Koppelvlakken voor onvertrouwde netwerken zijn aangegeven met cijfer 1. Deze koppelvlakken koppelen de netwerkarchitectuur voor DWR aan niet-dwr partijen. Dit zijn partijen die niet aan de beveiligingsmaatregelen (hoeven te) voldoen die wel aan DWR partijen worden gesteld. Om ervoor te zorgen dat het risico op beveiligingsincidenten die door deze koppeling wordt veroorzaakt tot een acceptabel niveau wordt teruggebracht moeten maatregelen getroffen worden. De inrichting van de koppelvlakken aan de hand van patronen is hierna uitgewerkt voor 3 verschillende varianten: 1. Beveiligd koppelvlak voor onvertrouwde netwerken 2. Beveiligd koppelvlak voor vertrouwde netwerken 3. Beveiligd koppelvlak voor compartimenten 22 van 68

23 3.3 Subpatroon Beveiligd koppelvlak voor onvertrouwde netwerken Oplossing DWR deelnemer A Onvertrouwd netwerk Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 1 Firewall ACL Content scanning Proxy Redundantie: Fail-over Standby Geen SPoF IDS / IPS Log server Figuur 6 Subpatroon beveiligd koppelvlak voor onvertrouwde netwerken Figuur 6 toont de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor onvertrouwde netwerken. Om de integriteit en vertrouwelijkheid van computersystemen in een netwerk zoveel mogelijk te waarborgen wanneer gekoppeld wordt met een onvertrouwd netwerk wordt zonering toegepast door middel van een beveiligd koppelvlak. De afscherming van de computersystemen binnen het netwerk vindt plaats door filtering toe te passen in het koppelvlak van het netwerk. Aangezien gekoppeld wordt met een onvertrouwd netwerk, is de filtering vooral gericht op het alleen doorlaten van vereiste verkeersstromen en grondig inspecteren van doorgelaten verkeersstromen. Voor binnenkomende verkeersstromen is de doelstelling primair de integriteit van de eigen computersystemen. Voor uitgaande verkeersstromen is de doelstelling primair de vertrouwelijkheid (tegengaan van onbedoeld weglekken van informatie). De filtering kan worden uitgevoerd door een firewall en contentscanner die geplaatst zijn in het koppelvlak. De filtering bestaat uit content- en virusscanning van al het verkeer door het koppelvlak. Daarnaast is voor detectie van netwerk gebaseerde aanvallen een IDS (Intrusion Detection System) of IPS (Intrusion Prevention System) in te richten. Rechtstreekse verbinding tussen systemen binnen het productie netwerk en systemen binnen het onvertrouwde netwerk wordt voorkomen door de inzet van bijvoorbeeld proxy s, etc. Informatie met betrekking tot de filtering dient te worden gelogd en indien urgent te worden gekoppeld aan alarmering. Dit ten behoeve van controle, alarmering en rapportering Operationele normen: Filtering 1. (NL): ALLEEN GEAUTORISEERD DATAVERKEER WORDT TOEGESTAAN DOOR HET KOPPELVLAK. 2. (NL): NETWERKVERKEER WORDT GECONTROLEERD OP DE AANWEZIGHEID VAN MALWARE ZOALS VIRUSSEN, WORMEN, SPYWARE, E.D. 23 van 68

24 3. (NL): EEN APPLICATION LEVEL FIREWALL CONTROLEERT OP DE JUISTE SYNTAX EN FORMAT VAN DE INFORMATIE, EN BLOKKEERT ONGELDIGE DATASTROMEN. DENK HIERBIJ AAN SSH VERKEER DAT VIA POORT 80 WORDT VERSTUURD. 4. (NL): EEN ANOMALY BASED DETECTION/PREVENTION SYSTEEM ZORGT VOOR CONTROLE OP NETWERK-GEBASEERDE AANVALLEN. 5. (NL): RECHTSTREEKSE VERBINDING TUSSEN SYSTEMEN BINNEN HET PRODUCTIE NETWERK EN SYSTEMEN IN HET ONVERTROUWDE NETWERK WORDEN VOORKOMEN. Continuïteitsvoorzieningen 6. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 7. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 8. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. Deze eisen vloeien mede voort uit het Rijkswebdocument Beveiligde koppeling in- en externe partijen [RWB-005] Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak Uitgebreide restricties Automatische malware-controle Automatische syntax-controle Automatische format-controle 24 van 68

25 3.4 Subpatroon Beveiligd koppelvlak voor vertrouwde netwerken Oplossing DWR deelnemer A DWR deelnemer B Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 2 Firewall ACL Redundantie: Fail-over Standby Geen SPoF IDS / IPS Log server Figuur 7 Subpatroon beveiligd koppelvlak voor vertrouwde netwerken Figuur 7 schetst de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor vertrouwde netwerken. Om de integriteit van computersystemen in een netwerk zoveel mogelijk te waarborgen kan zonering worden toegepast door middel van een beveiligd koppelvlak. De afscherming van de computersystemen binnen een netwerk vindt dan plaats door filtering toe te passen in het koppelvlak van het netwerk. Aangezien het koppeling van vertrouwde netwerken betreft, is de filtering vooral gericht op detectie van mogelijke problemen en wordt in principe verkeer door het koppelvlak niet geblokkeerd of gewijzigd. Daarnaast is voor detectie van netwerk gebaseerde aanvallen een IDS (Intrusion Detection System) in te richten. Informatie met betrekking tot de filtering dient te worden gelogd en indien urgent te worden gekoppeld aan alarmering Operationele normen: Filtering 1. (NL): DE GEAUTORISEERDE DATASTROMEN DIE DOOR HET KOPPELVLAK GAAN WORDEN NIET GEBLOKKEERD OF GEWIJZIGD. 2. (NL): ALLEEN COMPARTIMENTEN DIE BEREIKBAAR MOETEN ZIJN, MOGEN BEREIKBAAR ZIJN. 3. (NL): EEN ANOMALY BASED DETECTION/PREVENTION SYSTEEM ZORGT VOOR CONTROLE OP NETWERK-GEBASEERDE AANVALLEN. Continuïteitsvoorzieningen 4. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 1. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 2. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. 25 van 68

26 3.4.3 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak Automatische syntax-controle Automatische format-controle 26 van 68

27 3.5 Subpatroon Beveiligd koppelvlak voor compartimenten Oplossing Compartiment A Compartiment B Zonering Filtering Continuïteitsvoorzieningen Controle Alarmering Rapportering 3 Logische / fysieke scheiding Firewall ACL Redundantie: Fail-over Standby Geen SPoF Log server Figuur 8 Subpatroon beveiligd koppelvlak voor compartimenten Figuur 8 toont de IB-functies en mechanismen voor het subpatroon beveiligd koppelvlak voor compartimenten. Om de integriteit van computersystemen zoveel mogelijk te waarborgen kan zonering op netwerkniveau worden toegepast door middel van compartimentering. De afscherming van de computersystemen binnen een compartiment vindt dan plaats door filtering toe te passen in het koppelvlak van het compartiment. Deze filtering reguleert het netwerkverkeer naar het compartiment. De filtering kan worden uitgevoerd door een firewall die geplaatst is in het koppelvlak. Met filtering in het koppelvlak wordt bereikt dat filtering op een centraal punt plaatsvindt (beheerbaar en controleerbaar) en buiten de betrokken computersystemen. Dit in tegenstelling tot bijvoorbeeld een andere mogelijke oplossing waarbij de filtering wordt toegepast in de computersystemen zelf (gedistribueerde firewall) Operationele normen: Zonering 1. (NL): COMPARTIMENTEN ZIJN FYSIEK EN/OF LOGISCH VAN ELKAAR GESCHEIDEN. 2. (NL/DL): EEN COMPARTIMENT BEVAT ALLEEN SYSTEMEN DIE TOT DEZELFDE O, T, A OF P-GROEP BEHOREN. 3. (DL): DE SYSTEEMEIGENAAR BEPAALT IN WELK TYPE COMPARTIMENT ZIJN SYSTEEM WORDT GEPLAATST. 4. (DL): PERIODIEK (MINIMAAL JAARLIJKS) CONTROLEERT DE SYSTEEMEIGENAAR OF ZIJN SYSTEEM IN HET JUISTE TYPE COMPARTIMENT STAAT. Filtering 5. (NL): TUSSEN COMPARTIMENTEN WORDT EEN INSTELBAAR FILTER GEBRUIKT IN HET KOPPELVLAK, DAT DE RESOURCES BINNEN EEN COMPARTIMENT BESCHERMT (ALLEEN GEAUTORISEERDE DATAVERKEERSTROMEN TOESTAAT), EN EVENTUEEL BESCHIKBAAR STELT AAN EEN ANDER COMPARTIMENT. 6. (NL): FILTERING OP BASIS VAN HERKOMST WORDT MINIMAAL GEBASEERD OP COMPARTIMENTSNIVEAU 27 van 68

28 7. (NL): EEN COMPARTIMENT HEEFT EEN VASTGESTELD BEVEILIGINGSNIVEAU, DAT BESTAAT UIT DE GEAUTORISEERDE VERKEERSSTROMEN NAAR DE SYSTEMEN IN DAT COMPARTIMENT. Continuïteitsvoorzieningen 8. (NL): HET KOPPELVLAK DIENT EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% TE HEBBEN. Controle, Alarmering, Rapportering 9. (NL): INFORMATIE OVER DE INKOMENDE EN UITGAANDE DATASTROMEN WORDT MINIMAAL 3 MAANDEN BEWAARD (NIET DE INHOUD VAN DE DATASTROOM MAAR O.A. TIMESTAMP, BRON IP/POORT, DOEL IP/POORT, PROTOCOL) 10. (NL): INFORMATIE OVER DE DATASTROMEN IS ALLEEN INZICHTELIJK VOOR GEAUTORISEERDE PERSONEN EN BEVEILIGINGSFUNCTIONARISSEN. Voor de specifieke invulling van de compartimenten en de toegestane informatiestromen per compartiment wordt verwezen naar het [implcomp] Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Communicatie via beveiligd koppelvlak 28 van 68

29 3.6 Patroongroep Systemen Rationale: De servers en werkplekken worden binnen DWR gebruikt om toegang tot de DWR diensten en applicaties mogelijk te maken. Werkplekken en servers zijn als er niet afdoende maatregelen worden genomen o.a. kwetsbaar voor besmetting (malware), ongeautoriseerde toegang en dataverlies (bij bijvoorbeeld diefstal of inbraak). Om deze diensten, applicaties en de informatie die op de werkplek verwerkt wordt, te beschermen moeten er maatregelen getroffen worden op de servers en werkplekken Context: Figuur 9 Systemen binnen DWR Figuur 9 toont de verschillende systemen die zijn te onderscheiden binnen DWR. De werkplekken staan opgesteld bij de aangesloten departementen. Het is mogelijk om vanuit een werkplek toegang te krijgen tot de DWR diensten en applicaties, maar ook tot departementale diensten en applicaties die niet in DWR worden aangeboden. Een voorbeeld hiervan is wat nu nog buiten DWR valt. Bij de werkplekken is er onderscheid in vaste werkplekken en mobiele werkplekken. Mobiele werkplekken kunnen ook gebruikt worden buiten het departement en zonder netwerktoegang. De diensten en applicaties van DWR worden geïnstalleerd op server systemen, die via het netwerk aan elkaar en de werkplekken verbonden zijn. Servers kunnen departementaal en centraal (in de back-end) worden geplaatst. De configuratie van de systemen aan de hand van patronen is hierna uitgewerkt in een generieke systeemconfiguratie geldend voor alle systemen en generieke configuraties voor de onderscheiden typen systemen binnen DWR: 1. Generieke werkplekconfiguratie (vaste werkplek) 29 van 68

30 2. Generieke werkplekconfiguratie (mobiele werkplek) 3. Generieke serverconfiguratie Niet alle relevante beveiligingsaspecten zijn in de subpatronen verwerkt; er is voor gekozen om bepaalde maatregelen te groeperen in specifieke patronen, zoals: Patroon Generieke applicatieconfiguratie (Programma-controles) Patroon Authenticatie/Autorisatie (IAA) Patroon Logging/Monitoring (Controle, alarmering, rapportering) Patroon Backup (Continuiteitsvoorzieningen) Fysieke maatregelen zijn niet in deze baseline uitgewerkt. Voldoen aan de eisen hiervoor uit het Tactisch Normenkader zou voldoende moeten zijn, en niet tot implementatie- of interoperabiliteitsproblemen moeten leiden. 30 van 68

31 3.7 Subpatroon Generieke systeemconfiguratie Oplossing Werkplek / Server (generiek) Hardware Besturingssysteem Systeembeveiliging Functie Identificatie, Authenticatie, Autorisatie Hardening Filtering Identificatie, Authenticatie, Autorisatie Continuïteitsvoorzieningen BIOS wachtwoord Geen overbodige applicaties/ services Patching Antimalware Unieke identiteit Gebruikersauthenticatie Functieherstel voorzieningen (backup, restore, standby, spare) Figuur 10 Subpatroon generieke systeemconfiguratie Figuur 10 schetst de IB-functies en mechanismen voor het subpatroon generieke systeemconfiguratie. Dit subpatroon is van toepassing op zowel alle servers als alle werkplekken. Systeemconfiguratie is primair gericht op de integriteit van het betreffende systeem. Dit is te bereiken door het systeem te hardenen en periodiek dan wel real-time te filteren op virussen en malware. Om het risico van malware te beperken (zonder grote performance impact op de werkplek) kan defense-in-depth worden toegepast door op servers op een andere wijze te scannen op malware en virussen dan op de werkplek. Daarnaast is authenticatie nodig voor het kunnen wijzigen van systeemconfiguraties Operationele normen: Identificatie, authenticatie, autorisatie 1. (SL): BIOS WACHTWOORDEN ZIJN VAN AFSTAND TE WIJZIGEN 2. (SL): HET IS MET GEBRUIKERSACCOUNTS NIET MOGELIJK AUTOMATISCH IN TE LOGGEN (AUTO LOGON), ALLEEN SYSTEEMPROCESSEN MET FUNCTIONELE ACCOUNTS MOGEN GEAUTOMATISEERD AANLOGGEN. 3. (DL): ER ZIJN GESCHEIDEN ACCOUNTS VOOR BEHEERTAKEN EN GEBRUIKERSTAKEN. 4. (DL): RECHTEN ZIJN GEKOPPELD AAN ROLLEN, DIE OP HUN BEURT ZIJN GEKOPPELD AAN GEBRUIKERS. OP DEZE MANIER WORDT HET BEHEER VAN RECHTEN VEREENVOUDIGD EN IS ER MINDER GEVAAR OP ONJUIST TOEGEWEZEN RECHTEN. 31 van 68

32 Hardening 5. (SL): BESTURINGSSYSTEMEN ZIJN GEHARDENED, D.W.Z. DAT ER GEEN OVERBODIGE DIENSTEN DRAAIEN EN GEEN OVERBODIGE APPLICATIES GEINSTALLEERD ZIJN, RECHTEN VAN GEBRUIKERSACCOUNTS ZIJN GEMINIMALISEERD, ALLE SOFTWARE IS UP-TO-DATE. 6. (SL): UPDATES OP BESTURINGSSYSTEMEN MOETEN EERST WORDEN GETEST IN EEN TESTOMGEVING OM TE CONTROLEREN OF DE JUISTE WERKING VAN DE DWR SYSTEMEN NIET WORDT BEÏNVLOED. 7. (SL): NA BEOORDELING ALS KRITISCH GETYPEERDE UPDATES/PATCHES DIE VAN EEN VERTROUWDE EN GEAUTORISEERDE BRON KOMEN WORDEN ZO SNEL MOGELIJK, DOCH UITERLIJK BINNEN ÉÉN WEEK TOEGEPAST. 8. (DL/SL): INDIEN VAN TOEPASSING DIENEN INSTELLINGEN OVERGENOMEN TE WORDEN UIT STANDAARDEN ZOALS NIST, ZOLANG DEZE NIET IN TEGENSPRAAK ZIJN MET NORMEN/RICHTLIJNEN UIT DEZE BASELINE. Filtering 9. (SL): OP ALLE SYSTEMEN IS EEN MALWARE SCANNER AANWEZIG; VOOR SERVERS GELDT DAT REAL- TIME SCANNING NIET VEREIST IS: SCANNING DIENT PERIODIEK PLAATS TE VINDEN. VOOR WERKPLEKKEN IS NAAST PERIODIEK SCANNING OOK REAL-TIME SCANNING VEREIST. 10. (SL): DE MALWARE SCANNER OP SERVERS IS ANDERS DAN DE MALWARE SCANNER OP WERKPLEKKEN OF BINNEN HET KOPPELVLAK (TWEE LAGENSTRUCTUUR): EEN ANDERE ENGINE EN ANDERE DEFINITIES. DIT OM TE VOORKOMEN DAT ER EEN AFHANKELIJKHEID IS VAN 1 MALWARE SCANNER- LEVERANCIER VOOR ACTUELE VIRUSDEFINITIES. 11. (SL): MALWARE PATTERNS/SIGNATURES DIE VAN EEN VERTROUWDE EN GEAUTORISEERDE BRON KOMEN WORDEN (NA BEOORDELING) ZO SNEL MOGELIJK, DOCH UITERLIJK BINNEN ÉÉN WEEK TOEGEPAST. 12. (DL/SL): NETWERKVERKEER DIENT MET EEN PERSONAL FIREWALL (MOGELIJK BINNEN HET OS) OF GELIJKWAARDIG TE WORDEN BEPERKT TOT EXPLICIET TOEGESTANE VERKEERSSTROMEN. Continuïteitsvoorzieningen 13. (SL): DE FUNCTIE VAN HET SYSTEEM DIENT HERSTELD TE KUNNEN WORDEN, OOK NA HET INSTALLEREN VAN UPDATES Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Scheiding tussen beheer en gebruik Rechten op basis van rollen Beperken communicatie tussen werkstations Automatisch aanmelden Minimaal aanbod van applicaties Gestandaardiseerd beheer Geen overbodige applicaties Minimale rechten toekennen Minimaal gebruik van administrator/root account Alleen legitieme updates Controle op updates/patches Instellingen voldoen aan productstandaards 32 van 68

33 3.8 Subpatroon Generieke werkplekconfiguratie (vaste en mobiele werkplek) Oplossing Vaste werkplek Vaste werkplek Hardware Besturingssysteem Systeembeveiliging Logische afscherming Zonering Hardening Filtering Identificatie, Authenticatie, Autorisatie Harddiskencryptie Gebruik van geautoriseerde opstartmedia Slechts koppeling op 1 netwerk Alleen noodzakelijke randapparatuur Zero footprint Anti-spyware Anti-phishing Unieke identiteit Gebruikersauthenticatie 1 Figuur 11 Subpatroon generieke werkplekconfiguratie (vaste werkplek) Figuur 11 schetst de IB-functies en mechanismen voor het subpatroon generieke werkplekconfiguratie (vast werkplek). De configuratie van de vaste werkplek is primair gericht op het waarborgen van integriteit en secundair van vertrouwelijkheid. Beschikbaarheid is minder belangrijk omdat de werkplekken feitelijk redundant zijn uitgevoerd en een gebruiker uit kan wijken naar een andere werkplek. Voor integriteit is het essentieel dat het risico van infectie door malware e.d. wordt beperkt door gebruik van virusscanners en de lokale firewall. Dit risico kan verder worden beperkt door in principe geen randapparatuur toe te staan en het opstarten van de werkplek dusdanig in te richten dat het voor een aanvaller vrijwel onmogelijk is om hiertussen te komen. Het risico van onbevoegde toegang tot de werkplek (d.w.z. niet de gebruiker zelf of een beheerder) dient te beperkt omdat naast de integriteit van de werkplek zelf ook die van het DWR netwerk in het geding is. De werkplek zou door een aanvaller kunnen worden gebruikt als opstap voor een aanval richting DWR netwerk. Een gebruiker zou zijn werkplek nooit onbeschermd achter moeten laten en moeten afsluiten of de werkplek locken. Omdat een gebruiker dit kan vergeten dient de werkplek ook automatisch te locken als deze een bepaalde tijd niet wordt gebruikt. Verder mag een werkplek fysiek slechts gekoppeld zijn aan één netwerk. De vertrouwelijkheid van de (gebruiker van de) werkplek kan worden gewaarborgd door de toegang tot de werkplek door een beheerder alleen toe te staan na toestemming van de gebruiker en door sterke authenticatie te eisen voor beheerders. Afhankelijk van de mate van fysieke afscherming van de werkplek kan nog gekozen worden om na gebruik geen informatie lokaal op de werkplek achter te laten (zero footprint principe) of deze informatie versleuteld op te 33 van 68

34 slaan. Hiermee heeft een aanvaller zelfs bij wegnemen van de werkplek geen inzage in informatie of de mogelijkheid de werkplek te manipuleren. Mobiele werkplek Mobiele werkplek Hardware Besturingssysteem Systeembeveiliging Logische afscherming Zonering Hardening Filtering Identificatie, Authenticatie, Autorisatie Harddiskencryptie Gebruik van geautoriseerde opstartmedia Slechts koppeling op 1 netwerk Alleen noodzakelijke randapparatuur Anti-spyware Anti-phishing Unieke identiteit Gebruikersauthenticatie 2 Figuur 12 Subpatroon generieke werkplekconfiguratie (mobiele werkplek) Error! Reference source not found. schetst de IB-functies en mechanismen voor het subpatroon generieke werkplekconfiguratie (mobiele werkplek). Deze verschilt niet van de vaste werkplek op het volgende na. Bij de mobiele werkplek is het risico vrij groot dat deze in vreemde handen komt (verlies, diefstal) terwijl het juist wel gewenst is dat lokaal op de werkplek informatie wordt opgeslagen (geen zero footprint principe voor de mobiele werkplek). Daarom dient de informatie op de werkplek lokaal versleuteld te worden opgeslagen. Hiermee heeft een aanvaller zelfs bij wegnemen van de werkplek geen inzage in informatie of de mogelijkheid de werkplek te manipuleren Operationele normen vaste werkplek: Hardening 1. (SL): ER MAG GEEN INFORMATIE OP HET WERKSTATION ZELF OPGESLAGEN WORDEN. INDIEN DIT NIET HAALBAAR IS EN ER TOCH DATA OP HET WERKSTATION OPGESLAGEN MOET WORDEN, MOET DE INFORMATIE VERSLEUTELD OPGESLAGEN WORDEN. 2. (SL): ER WORDT GESTREEFD NAAR HET ZERO-FOOTPRINT PRINCIPE OP DE VASTE WERKPLEKKEN. DIT PRINCIPE IS PRIMAIR GERICHT OP HET VOORKOMEN DAT KRITISCHE DATA OP DE WERKPLEK WORDT OPGESLAGEN MAAR WIL IN STRIKTE VORM OOK ZEGGEN DAT ER GEEN PROFIELEN LOKAAL WORDEN GECACHED, EN DAT TIJDELIJKE BESTANDEN PER DEFINITIE OP HET NETWERK WORDEN OPGESLAGEN Operationele normen mobiele werkplek: Logische afscherming 34 van 68

35 1. (SL): DE DATA OP DE HARDDISK MOET VERSLEUTELD WORDEN (VOLGENS HET PRE-BOOT HARDDISK ENCRYPTIE PRINCIPE). 2. OM LOKAAL DATA OP TE SLAAN IS EEN SPECIALE PARTITIE BESCHIKBAAR. DE PARTITIE WAAR HET BESTURINGSSSYTEEM OP STAAT IS NIET DOOR DE GEBRUIKER AAN TE PASSEN Operationele normen vaste en mobiele werkplek: Logische afscherming 1. (SL): VASTE WERKPLEKKEN STARTEN ALLEEN OP VANAF GEAUTORISEERDE MEDIA. 2. (SL): PER DEPARTEMENT MOET WORDEN VASTGESTELD OF, EN WELKE USB STICKS (EN ANDERE PERIPHERAL DEVICES) WORDEN TOEGESTAAN. DIT WORDT DAN, MITS CONFORM MET HET KADER MOBIELE DATADRAGERS, (ONAFHANKELIJK VAN DE LOCATIE) AFGEDWONGEN. Zonering 3. (SL): HET IS NIET MOGELIJK OM VERSCHILLENDE NETWERKEN VIA DE WERKPLEK TE VERBINDEN. 4. (SL/NL): WERKSTATIONS WORDEN NIET IN MEERDERE O, T, A OF P OMGEVINGEN TEGELIJK GEBRUIKT. Hardening 5. (SL): STANDAARD WORDT RANDAPPARATUUR NIET ONDERSTEUND, NAAST DE UITZONDERINGEN VOOR O.A. TOETSENBORDEN, MUIZEN EN USB STICKS. VOOR MOBIELE DATADRAGERS GELDEN AANVULLENDE NORMEN, ZOALS BESCHREVEN IN HET NORMENKADER VOOR MOBIELE DATADRAGERS. Filtering 6. (SL): HET BESTURINGSSYSTEEM GEBRUIKT BEVEILIGINGSSOFTWARE WAARONDER ANTI VIRUSSOFTWARE, TOOLS TEGEN SPYWARE; ANTI-PHISHINGSOFTWARE, ENCRYPTIESOFTWARE (MINIMAAL AES 128 BITS, OF GELIJKWAARDIG) ALSMEDE EEN (ALLEEN CENTRAAL) CONFIGUREERBARE PERSONAL FIREWALL. 7. (DL): DE MALWARE SCANNER CONTROLEERT BESTANDEN PERIODIEK (MINIMAAL 1 KEER PER MAAND), EN OP HET MOMENT DAT ZE GEOPEND WORDEN. 8. (SL): VOOR WERKLEKKEN WORDT AANBEVOLEN OM INKOMEND NETWERKVERKEER VAN ANDERE WERKPLEKKEN NIET TOE TE STAAN. Identificatie, authenticatie, autorisatie 9. (SL): HET LOKALE ADMINISTRATOR ACCOUNT (INDIEN AANWEZIG) HEEFT EEN SPECIFIEK WACHTWOORD, WELKE CENTRAAL OPGESLAGEN EN BEHEERD ZAL WORDEN. 10. (SL): GEBRUIKERS KUNNEN NIET ONGEAUTORISEERD LOKALE ADMINISTRATOR RECHTEN VERKRIJGEN. 11. (SL): GEBRUIK VAN LOKALE ADMINISTRATOR RECHTEN IS ZICHTBAAR VOOR GEAUTORISEERDE PERSONEN. 12. (SL): DE WERKPLEKKEN ZIJN VOORZIEN VAN EEN SCREENSAVER MET WACHTWOORD DIE NA 15 MINUTEN VAN INACTIVITEIT INSCHAKELT. 13. (SL): BEHEERTOEGANG VAN AFSTAND TOT DE WERKPLEKKEN VEREIST 2-FACTOR AUTHENTICATIE VAN DE BEHEERDER. 14. (SL): BEHEERTOEGANG VAN AFSTAND VEREIST EXPLICIETE GOEDKEURING VAN DE GEBRUIKER, WAARBIJ DE GEBRUIKER DE MOGELIJKHEID HEEFT OM DE BEHEERSESSIE TE BEËINDIGEN. 15. (SL): WERKPLEKKEN VEREISEN EEN HANDMATIGE LOGIN, HET IS DUS NIET TOEGESTAAN OM AUTOMATISCH ALS EEN BEPAALDE GEBRUIKER IN TE LOGGEN. 16. (SL): OP DE WERKPLEKKEN WORDT UAC OF EEN VERGELIJKBAAR MECHANISME, WANNEER BESCHIKBAAR, AANGEZET. 35 van 68

36 3.8.1 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Dit in aanvulling op de normen die worden afgedekt vanuit het patroon generieke systeemconfiguratie. Norm Real-time automatische malware-controle bij gebruik van gegevens Toestemming bij overname werkstations 36 van 68

37 3.9 Subpatroon Generieke serverconfiguratie Oplossing Server Hardware Besturingssysteem Systeembeveiliging Zonering Zonering Hardening Hardening Continuïteitsvoorzieningen Fysieke afscherming Geautoriseerde toegang Slechts koppeling op 1 netwerkcompartiment m.u.v. Beheer Geen browser Indien browser noodzakelijk: geen overbodige webbrowser plugins Geen browser Indien browser noodzakelijk: geen overbodige webbrowser plugins Redundantie: Fail-over Standby Tijdssynchronisatie 3 Figuur 13 Subpatroon generieke serverconfiguratie Figuur 13 schetst de IB-functies en mechanismen voor het subpatroon generieke serverconfiguratie. Beschikbaarheid van gemeenschappelijke diensten is essentieel voor het functioneren van DWR. Daarom is de configuratie voor dergelijke servers primair gericht op het waarborgen van beschikbaarheid van servers. Secundair zijn ook de aspecten integriteit en vertrouwelijkheid van belang omdat aantasting van de integriteit of vertrouwelijkheid ook impact kan hebben op de beschikbaarheid. Servers dienen daartoe fysiek te worden afgeschermd en voor kritische diensten dienen continuïteitsvoorzieningen te worden getroffen, bijvoorbeeld op basis van redundantie. Ook dient voor de servers hardening te worden toegepast om het risico van mogelijk misbruik van kwetsbaarheden in overbodige aanwezige functionaliteit te beperken. Wijzigingen in de serverconfiguratie (zoals bijvoorbeeld updates) dienen voor wijziging uitvoerig te worden getest om er zeker van te zijn dat door de wijziging de beschikbaarheid van de server niet in gevaar komt. Om bij mogelijke incidenten adequaat te kunnen optreden is het van belang dat de logging is te correleren en daartoe dienen servers dezelfde tijdreferentie aan te houden Operationele normen: Zonering 1. (SL): SERVERS DIENEN ZICH TE BEVINDEN IN EEN AFGESLOTEN RUIMTE, WAARBIJ ALLEEN GEAUTORISEERD PERSONEEL FYSIEK TOEGANG HEEFT TOT DE SYSTEMEN. Hardening 2. (SL): UPDATES WORDEN BINNEN 1 WEEK INGEVOERD OP DE PRODUCTIEOMGEVING. 3. (SL): SERVERS HEBBEN GEEN WEBBROWSER, TENZIJ DEZE STRIKT NOODZAKELIJK IS. INDIEN ER EEN BROWSER NOODZAKELIJK IS, ONDERSTEUNEN DEZE GEEN JAVASCRIPT, ACTIVE-X PLUGINS OF ANDERE SCRIPTTALEN TENZIJ GEAUTORISEERD. 37 van 68

38 4. (SL): DAAR WAAR MOGELIJK WORDEN PRODUCTEN GEBRUIKT DIE VOLGENS EEN INTERNATIONAAL GEACCEPTEERDE STANDAARD/ORGANISATIE GEËVALUEERD ZIJN. DE COMMON CRITERIA EVALUATIES ZIJN HIERBIJ EEN GOED UITGANGSPUNT. Filtering 5. (SL): VOOR SERVERS GELDT DAT PERIODIEK WORDT GECONTROLEERD OP VIRUSSEN EN ANDERE MALWARE IN DE BESTANDEN DIE ZIJN OPGESLAGEN. Continuïteitsvoorzieningen 6. (DL): KRITISCHE DIENSTEN (AD/DC/DNS/DATABASE SERVERS) MOETEN EEN BESCHIKBAARHEID VAN MINIMAAL 99,5% HEBBEN. 7. (DL) DE SERVERS DIENEN GEBRUIK TE MAKEN VAN EEN EN DEZELFDE TIJDBRON (NTP), NAMELIJK DE TIJD VAN DE HAAGSE RING (NTP SERVICE). 8. (DL): BIJ TOEPASSING VAN GEOGRAFISCHE SCHEIDING DIENT DE AFSTAND TUSSEN DE BETROKKEN LOCATIES MINIMAAL 500M BEDRAGEN. 9. (DL): BIJ REDUNDANTIE MAG ER GEEN SINGLE POINT OF FAILURE ZIJN DIE DE BESCHIKBAARHEID VAN BEIDE SYSTEMEN TEGELIJK BEINVLOEDT. 10. (DL): BIJ REDUNDANTIE MOET ER ZODANIG OVERGESCHAKELD WORDEN NAAR HET RESERVE- SYSTEEM (HARDWARE + SOFTWARE/APPLICATIE), DAT DE VEREISTE BESCHIKBAARHEID WORDT BEHAALD Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Dit in aanvulling op de normen die worden afgedekt vanuit het patroon generieke systeemconfiguratie. Norm Redundante uitvoering componenten Geen Single Point of Failure (SpoF) bij redundantie Automatische opvang van uitval Periodieke automatische malware-controle van opgeslagen gegevens Correcte tijdsinformatie 38 van 68

39 3.10 Patroon Generieke applicatieconfiguratie Rationale: De applicaties (dit kunnen lokale applicaties zijn maar ook websites e.d.) die door DWR worden aangeboden, zowel standaard applicaties die door alle departementen worden gebruikt als departementaal specifieke applicaties, zijn een potentiële bron van beveiligingsincidenten. Zo hebben applicaties toegang tot informatie, kunnen ze netwerkverkeer genereren en hebben ze de mogelijkheid om de gebruiker aan te sturen (denk aan het vragen om een gebruikersnaam/wachtwoord). Het is daarom van belang dat er afspraken gemaakt worden over beveiligingseisen voor deze applicaties Context Figuur 14 Applicatie binnen DWR Figuur 14 schetst de elementen van een applicatie binnen DWR. De belangrijkste dreigingen voor applicaties (waar applicaties maatregelen tegen kunnen treffen) bestaan uit aanvallen vanaf de gebruikersinterface. Door de invoer te controleren op geldigheid worden bijvoorbeeld bufferoverflows, cross site scripting, SQL injection en script injection voorkomen (Programmacontroles). Daar bovenop zorgt voor het afschermen van toegang tot de applicatie dat ongeautoriseerde gebruikers geen mogelijkheid hebben om de applicatie aan te vallen (IAA, Filtering). Door handelingen van gebruikers te loggen is het mogelijk om na een incident te bepalen wie het incident heeft veroorzaakt (Controle, alarmering, rapportering), wat een preventief effect heeft. Tot slot kan een dienst/applicatie maatregelen treffen om onevenredig gebruik door één gebruiker te voorkomen, wat de beschikbaarheid voor de andere gebruikers garandeert (Continuïteitsvoorzieningen). 39 van 68

40 Oplossing Figuur 15 Patroon generieke applicatieconfiguratie Figuur 15 schetst de IB-functies en mechanismen voor het patroon generieke applicatieconfiguratie. De configuratie van applicaties is gericht op: Betrouwbaarheid van informatie met betrekking tot de applicatie Beperken van het risico van aantasting van de betrouwbaarheid van werkplek en DWR netwerk Het gebruik van functiescheiding beperkt het risico dat informatie binnen de applicatie kan worden gemanipuleerd. Verder dient ingevoerde informatie te worden gevalideerd om het risico te beperken dat een mogelijke kwetsbaarheid binnen de applicatie wordt misbruikt. Het risico dat een applicatie de betrouwbaarheid van werkplek of het DWR netwerk kan schaden wordt beperkt door alleen geautoriseerde applicaties toe te staan en applicaties voor productie uitvoerig te testen op eventuele beïnvloeding van de DWR omgeving. Ook dient hiertoe logging,en loganalyse plaats te vinden met betrekking tot gebruik en uitvoering van de applicatie Operationele normen: Programma controles 1. (DL/SL): INVOER VAN ONVERTROUWDE PARTIJEN (ZOALS GEBRUIKERS MAAR BIJV. OOK EXTERNE DATABRONNEN) MOET GEVALIDEERD WORDEN. AANVALLEN ZOALS SQL INJECTIE EN CROSS-SITE- SCRIPTING WORDEN HIERDOOR VOORKOMEN. 2. (DL): INGEVOERDE GEGEVENS WORDEN GECONTROLEERD OP JUISTHEID EN GELDIGHEID, ZODAT FOUTIEVE INVOER TOT EEN MINIMUM WORDT BEPERKT. ONGELDIGE INVOER WORDT NIET GEACCEPTEERD. 3. (DL): ER WORDT GECONTROLEERD OP DUBBELE INVOER VAN GEGEVENS. BIJ DETECTIE WORDT DE GEBRUIKER GEWAARSCHUWD. 40 van 68

41 4. (DL): EEN APPLICATIE BIEDT GEEN MOGELIJKHEID VOOR GEBRUIKERS TOT HET VERSTUREN VAN SPAMBERICHTEN. 5. (DL): ALS BEPAALDE INFORMATIE OP MEERDERE PLAATSEN WORDT BIJGEHOUDEN, WORDT PERIODIEK GECONTROLEERD OF DE INFORMATIE CONSISTENT IS. Identificatie, authenticatie, autorisatie 6. (DL): APPLICATIES MOETEN FUNCTIESCHEIDING TUSSEN BIJV. BEHEERFUNCTIES, LEES- EN SCHRIJFFUNCTIES MOGELIJK MAKEN. 7. (DL): DE OP DE WERKPLEK AANGEBODEN APPLICATIES HEBBEN GEEN HOGE OF SYSTEEMRECHTEN NODIG OM OP DE WERKPLEK TE FUNCTIONEREN. ZIJ KUNNEN DUS MET DE STANDAARD GEBRUIKERSRECHTEN VAN HET TOEGEPASTE OS FUNCTIONEREN. 8. (DL): APPLICATIES MOETEN GEBRUIK MAKEN VAN EEN VORM VAN GEBRUIKERSAUTHENTICATIE OM TE VOORKOMEN DAT ONGEAUTORISEERDE PERSONEN TOEGANG HEBBEN TOT DE APPLICATIE. DIT KAN OOK OP SYSTEEMNIVEAU PLAATSVINDEN. 9. (DL): WANNEER EEN APPLICATIE VOOR MEERDERE GEBRUIKERS TOEGANKELIJK IS, MOETEN MAATREGELEN WORDEN GETROFFEN OM ONEVENREDIG GEBRUIK DOOR ÉÉN GEBRUIKER TE VOORKOMEN. 10. (DL): RECHTEN ZIJN GEKOPPELD AAN ROLLEN, DIE OP HUN BEURT ZIJN GEKOPPELD AAN GEBRUIKERS. OP DEZE MANIER WORDT HET BEHEER VAN RECHTEN VEREENVOUDIGD EN IS ER MINDER GEVAAR OP ONJUIST TOEGEWEZEN RECHTEN. 11. (DL): ROLLEN BESCHIKKEN ALLEEN OVER DIE RECHTEN DIE NODIG ZIJN VOOR HET UITVOEREN VAN DE ROL, EN GEBRUIKERS HEBBEN ALLEEN DIE ROLLEN DIE NODIG ZIJN VOOR DE WERKZAAMHEDEN VAN DE GEBRUIKER. Continuïteitsvoorzieningen 12. (DL): VOOR ENCRYPTIE MOET AES OF GELIJKWAARDIG GEBRUIKT WORDEN, MET EEN MINIMALE SLEUTELLENGTE VAN 128 BITS. 13. (DL): UPDATES VOOR APPLICATIES MOETEN EERST WORDEN GETEST OM TE CONTROLEREN OF DE JUISTE WERKING VAN DE DWR SYSTEMEN NIET WORDT BEÏNVLOED. Logische afscherming 14. (DL): STANDAARD PROTOCOLLEN MOETEN WORDEN GEBRUIKT, DEZE MOGEN GEEN AFBREUK DOEN AAN HET GEWENSTE BEVEILIGINGSNIVEAU. 15. (DL): CRYPTOGRAFISCHE APPLICATIES DIENEN EEN INSTELBARE SLEUTELLENGTE TE GEBRUIKEN, WAARBIJ DE MINIMALE SLEUTELLENGTE VOOR EEN ACCEPTABEL BEVEILIGINGSNIVEAU ZORGT. Hardening 16. (DL): INDIEN VAN TOEPASSING ONDERSTEUNT EEN APPLICATIE CODE SIGNING (D.M.V. EEN DIGITALE HANDTEKENING) OM TE BEPALEN OF SCRIPTS WEL OF NIET UITGEVOERD MOGEN WORDEN. 17. (DL): ZOGENAAMDE SECURITY-UPDATES (UPDATES WAARIN EEN BEVEILIGINGSPROBLEEM WORDT OPGELOST) WORDEN BINNEN 1 WEEK INGEVOERD OP DE PRODUCTIEOMGEVING. 18. (DL): INDIEN VAN TOEPASSING DIENEN INSTELLINGEN OVERGENOMEN TE WORDEN UIT STANDAARDEN ZOALS NIST, ZOLANG DEZE NIET IN TEGENSPRAAK ZIJN MET NORMEN/RICHTLIJNEN UIT DEZE BASELINE. 19. (DL): JAVASCRIPT, WORD MACRO S EN ANDERE SCRIPTS KUNNEN ZIJN ALLEEN TOEGESTAAN INDIEN ZE AFKOMSTIG ZIJN VAN EEN VERTROUWDE BRON EN ZIJN GEAUTORISEERD, OF IN EEN ZGN. SANDBOX WORDEN UITGEVOERD. Vastleggen gebeurtenissen 20. (DL): APPLICATIES SLAAN LOGGEGEVENS OP MET BETREKKING TOT BEVEILIGINGS-RELEVANTE INFORMATIE. VOORBEELDEN HIERVAN ZIJN: MISLUKTE LOGIN-POGINGEN, POGING TOT UITVOEREN VAN ACTIES WAAR DE GEBRUIKER GEEN RECHTEN VOOR HEEFT EN SOFTWARE- CRASHES. 41 van 68

42 Interoperabiliteit/beheer 21. (DL): APPLICATIES DIE DOOR ALLE DEPARTEMENTEN WORDEN GEBRUIKT MOETEN CENTRAAL KUNNEN WORDEN BEHEERD Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Voorkomen onevenredig gebruik Functiescheidingen Scheiding tussen beheer en gebruik Rechten op basis van rollen Validatie en bestaanbaarheid Signaleren mogelijk foutieve invoer Geen default waarden Signaleren dubbele invoer Tegengaan applicatieve spam Vergelijk dezelfde gegevens in verschillende gegevensverzamelingen Gegevensencryptie Versleuteling Gebruik standaard algoritmen Gebruikt robuuste algoritmen Certificering voor cryptografische producten Instelbare sleutellengte Sleutellengte Instellingen voldoen aan productstandaards Sandbox voor Mobile Code Blokkeren van Mobile Code Alleen uitvoeren van geauthentiseerde Mobile Code Alleen uitvoeren van geautoriseerde Mobile Code 42 van 68

43 3.11 Patroon Multifunctional-configuratie Rationale: Printfunctionaliteit is een onderdeel van de dienst DWR. Omdat op deze printers gevoelige informatie kan worden afgedrukt, is het van belang dat de printers goed beveiligd zijn. De beveiliging is een interdepartementale aangelegenheid, omdat ook andere departementen gebruik kunnen maken van die printer, bijvoorbeeld als een medewerker bij een ander departement aanwezig is Context: Figuur 16 Situatieschets van printers binnen DWR Figuur 16 schetst de situatie rond printers binnen DWR. De functionaliteit van een printer is hierbij verbreed naar die van een multi-functional copier: naast het afdrukken biedt de printer ook de mogelijkheid tot inscannen van documenten en en van ingescande documenten. Printers hebben in principe drie verschillende toegangsmogelijkheden; fysieke toegang, toegang tot de beheerinterface en toegang tot de printfunctionaliteit. By fysieke toegang is het belangrijk dat niet iedereen bij de printer kan komen, dit kan worden opgelost door printers in afgeschermde ruimtes te plaatsen (Zonering, Filtering). Zo wordt tot op zekere hoogte voorkomen dat afdrukken door onbevoegden worden meegenomen. Via het netwerk is de printer ook te benaderen voor het versturen van printopdrachten. Hierbij moet worden vastgelegd welke persoon welke printopdracht heeft verstuurd, zodat het annuleren van printopdrachten mogelijk is (IAA). Voor beheer mogen alleen geautoriseerde personen de instellingen van de printer 43 van 68

44 kunnen wijzigen (IAA). Niet alle netwerkelementen hebben toegang tot de printers nodig, en moeten daarom worden afgeschermd (Zonering, Filtering). De status van de printer moet worden vastgelegd en gerapporteerd (Controle, alarmering, rapportering). Het reageren op deze meldingen, en maatregelen zoals het toepassen van meerdere papierbakken zorgen voor een hogere beschikbaarheid (Continuiteitsvoorzieningen) Oplossing Figuur 17 Patroon printerconfiguratie Figuur 17 schetst de IB-functies en mechanismen voor het patroon printerconfiguratie. Printers zijn volwaardige systemen die mogelijk gebruikt kunnen worden voor een aanval richting het DWR netwerk. Daarom dienen printers ontdaan te worden van niet noodzakelijke functionaliteit (hardening) en dient de toegang tot de printer zowel logisch als fysiek zo veel mogelijk beperkt te worden (afscherming, autorisatie) om de integriteit van de printer te waarborgen Operationele normen Identificatie, authenticatie, autorisatie 1. (SL): ALLEEN GEAUTORISEERDE GEBRUIKERS KUNNEN GEBRUIK MAKEN VAN DE PRINTERS. 2. (SL): GEBRUIKERS MOET DE MOGELIJKHEID WORDEN GEBODEN OM BEVEILIGD TE PRINTEN, DOOR MIDDEL VAN HET ZOGENAAMDE FOLLOW-ME PRINTING OF FYSIEKE AFSCHERMING 3. (SL): TOEGANGSRESTRICTIES ZIJN AANGEBRACHT OP DE BEHEERINTERFACE VAN DE PRINTER. Logische afscherming 4. (NL): ALLE NETWERKPRINTERS WORDEN LOGISCH AFGESCHERMD VAN DE WERKSTATIONS. 5. (NL): NETWERKPRINTERS WORDEN LOGISCH AFGESCHERMD VAN SYSTEMEN WAARMEE GEEN COMMUNICATIE NODIG IS. 6. (SL): INDIEN DE PRINTER OPSLAGMEDIA(HARDDISK, FLASH-GEHEUGEN) BEVAT, MOET DEZE OP VEILIGE WIJZE GEWIST OF VERNIETIGD WORDEN, VOORDAT DE PRINTER AFGEVOERD WORDT. Zonering 44 van 68

45 7. (SL): FYSIEKE TOEGANG TOT DE PRINTERS IS AFGESCHERMD TOT ALLEEN GEAUTORISEERDE PERSONEN, ZODAT DE INTEGRITEIT VAN DE PRINTER EN DE VERTROUWELIJKHEID VAN AFGEDRUKTE INFORMATIE BEHOUDEN BLIJFT. Hardening 8. (SL): ALLE PRINTERS (OOK GASTPRINTERS) DIENEN GEHARDENED TE WORDEN (M.A.W. NIET NOODZAKELIJKE FUNCTIONALITEITEN / PROTOCOLLEN MOETEN ZIJN UITGEZET). Interoperabiliteit/beheer 9. (SL): MELDINGEN OVER DE STATUS VAN DE PRINTER WORDEN DOORGESTUURD NAAR BEHEER. De basis voor bovenstaande richtlijnen is de IEEE-2600 Hardcopy devices standaard Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Zonering toepassen Hardening Toestaan op basis van noodzaak tot gebruik Beperken toegang voor onbevoegden Plaatsing en bescherming van apparatuur Omgang bedrijfseigendommen Verwijderen of hergebruiken van apparatuur 45 van 68

46 3.12 Patroon Authenticatie/Autorisatie Rationale: Toegang tot de verschillende objecten van DWR dient te worden gelimiteerd tot alleen geautoriseerd personeel, om zo de vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen Context: Figuur 18 Authenticatie en autorisatie binnen DWR Authenticatie en autorisatie hebben betrekking op alle niveaus van objecten binnen DWR, zie de situatieschets in Figuur 18, onder andere de volgende objecten en personen: Gebruikers Beheerders Derde partijen Werkplekken Servers Authenticatie gaat hierbij om het controleren of de identiteit die een object/persoon claimt te hebben ook klopt, en autorisaties gaan over de rechten die aan die identiteit gekoppeld zijn. De beveiligingsfunctie die hiermee wordt gerealiseerd is die van Identificatie, Authenticatie, Autorisatie. 46 van 68

47 Oplossing Figuur 19 Patroon authenticatie/autorisatie Figuur 19 schetst de IB-functies en mechanismen voor het patroon authenticatie/autorisatie. Om de toegang tot een bepaald object te beperken worden authenticatie en autorisatie mechanismen gebruikt. Met authenticatie kan de identiteit van een gebruiker worden vastgesteld (met een zekere mate van betrouwbaarheid) terwijl op basis van autorisatie daarna wel of niet toegang wordt verleend. De minimale vorm van authenticatie is die op basis van gebruikersnaam en wachtwoord. Het authenticatie mechanisme op basis van wachtwoord is kwetsbaar omdat een aanvaller wachtwoorden ongemerkt zou kunnen afluisteren of raden. Om te voorkomen dat een buitenstaander inzage heeft in het wachtwoord van een gebruiker mag een wachtwoord nooit in klare tekst worden opgeslagen of worden getransporteerd. Het risico van raden van een wachtwoord wordt beperkt door het aantal mogelijke inlogpogingen te beperken in tijd. Ook dient een wachtwoord een zekere moeilijkheidsgraad te hebben en dient regelmatig het wachtwoord te worden gewijzigd. Indien er meer zekerheid ten aanzien van de identiteit van een gebruiker is vereist (bijvoorbeeld bij authenticatie op afstand of ten behoeve van beheertaken) dient sterke authenticatie (twee factor) te worden gebruikt waarbij naast kennis van een wachtwoord of PIN ook het bezit van smartcard of token nodig is voor authenticatie Operationele normen: Identificatie, authenticatie, autorisatie 1. (DL/SL): ELKE GEBRUIKER VAN DWR HEEFT EEN UNIEKE GEBRUIKERSNAAM/IDENTIFIER. 2. (SL): DE SYSTEEMPROCESSEN DRAAIEN ONDER EEN EIGEN ACCOUNT. 3. (DL): HET MOET MOGELIJK ZIJN OM DE RECHTEN PER ROL TE SPECIFICEREN. OOK MOET INZICHTELIJK ZIJN WELKE ROLLEN EEN BEPAALD RECHT HEBBEN. 4. (DL/SL): GEBRUIKERS MOETEN ZICH MINIMAAL OP BASIS VAN WACHTWOORDEN AUTHENTICEREN. 5. (DL): DE HASH VAN HET WACHTWOORD MOET WORDEN OPGESLAGEN, NIET HET WACHTWOORD ZELF. 47 van 68

48 6. (DL/SL): GEBRUIKERSACCOUNTS DIE 2 MAANDEN NIET WORDEN GEBRUIKT MOETEN WORDEN ONDERZOCHT OM TE BEPALEN OF HET ACCOUNT VERWIJDERD KAN WORDEN. VOOR BEHEERACOUNTS IS DEZE TIJD MAXIMAAL 2 WEKEN. 7. (DL/SL): DE EXPIRATIEDATUM VAN EEN ACCOUNT MOET ZIJN GEKOPPELD AAN DE UITDIENSTTREDING VAN EEN MEDEWERKER. 8. (DL/SL): EEN WACHTWOORD IS MAXIMAAL 60 DAGEN GELDIG EN DIENT BINNEN DIE TIJD TE WORDEN AANGEPAST WAARNA OPNIEUW DE GENOEMDE TERMIJN INGAAT. 9. (DL/SL): NA EXPIRATIE MOET EEN ACCOUNT AUTOMATISCH GEBLOKKEERD WORDEN, WAARBIJ VIA DE PROCEDURES HET ACCOUNT EVENTUEEL WEER ONTSLOTEN KAN WORDEN. 10. (DL/SL): BEHEERDERS HEBBEN EEN SPECIAAL (PERSOONSGEBONDEN) BEHEERACCOUNT. 11. (DL/SL): VOOR BEHEERACCOUNTS MOET DE SCREENSAVER (MET WACHTWOORD) NA MAXIMAAL 10 MINUTEN WORDEN INGESCHAKELD. 12. (DL): EEN WACHTWOORD MAG NIET GETOOND WORDEN. 13. (DL/SL): BIJ HET LOGIN SCHERM WORDT EEN MELDING OVER ONGEAUTORISEERD MISBRUIK GETOOND. 14. (DL/SL): BIJ HET LOGIN SCHERM WORDT EEN MELDING T.A.V. DE LAATSTE SUCCESVOLLE LOGIN GETOOND MET DATUM EN TIJD. 15. (DL/SL): ER ZIJN GEEN TIJDSRESTRICTIES VOOR HET INLOGGEN, IN PRINCIPE KAN 24/7 WORDEN INGELOGD IN OVEREENSTEMMING MET TIJDSONAFHANKELIJK WERKEN. 16. (DL/SL): INLOGGEN IS IN PRINCIPE LOKATIEONAFHANKELIJK. 17. (DL/SL): HET GEBRUIK VAN EEN GEHEUGENSTEUN VOOR WACHTWOORDEN IS NIET TOEGESTAAN. 18. (SL): HET TONEN VAN HET LAATST INGELOGDE ACCOUNTNAAM IS NIET TOEGESTAAN. 19. (DL/SL): VOOR WERKPLEKAUTHENTICATIE IS HET VEREIST DAT EEN GEBRUIKER ZICH AUTHENTICEERT. DIT BETEKENT DAT BIJV. AUTOMATISCH ONDER EEN GEBRUIKERSACCOUNT INLOGGEN NA HET OPSTARTEN NIET IS TOEGESTAAN. (SINGLE SIGN ON IS WEL MOGELIJK, DEZE EIS GELDT ALLEEN VOOR INITIËLE WERKPLEKAUTHENTICATIE) 20. (SL): HET BIOS IS DOOR MIDDEL VAN EEN WACHTWOORD AFGESCHERMD VOOR INZAGE EN WIJZIGINGEN. ALLEEN WERKPLEKBEHEERDERS BEZITTEN DE BIOS WACHTWOORDEN. 21. (DL/SL/NL): AUTHENTICATIE IS TE ALLEN TIJDE HERLEIDBAAR TOT ÉÉN PERSOON. GROEPSACCOUNTS ZIJN NIET TOEGESTAAN. HET DELEN VAN ACCOUNTS MET BIJV. STAGIAIRS OOK NIET. 22. (DL): BIJ WERKEN OP AFSTAND (TOEGANG TOT HET NETWERK VIA INTERNET) IS 2-FACTOR AUTHENTICATIE VEREIST. 23. (DL/SL): MOBIELE WERKPLEKKEN DIENEN ZICH TE AUTHENTICEREN AAN HET NETWERK. 24. (DL/SL): VOOR AUTORISATIES WORDT ZOVEEL MOGELIJK GEBRUIK GEMAAKT VAN STANDAARD AUTORISATIEVOORZIENINGEN. 25. (DL/SL): INDIEN EEN PKI WORDT TOEGEPAST, DIENT TE WORDEN VOLDAAN AAN DE EISEN VAN PKI-OVERHEID. 26. (DL/SL): SYSTEEM EN NETWERK BEHEERDERS LOGGEN IN MET BEHULP VAN STERKE AUTHENTICATIE, MINIMAAL 2-FACTOR. 27. (DL/SL): VOOR WACHTWOORDEN GELDT DAT DEZE AAN BEPAALDE EISEN MOETEN VOLDOEN: MINIMAAL 8 KARAKTERS, BEVAT HOOFD- EN KLEINE LETTERS EN MINIMAAL 2 NIET- ALFANUMERIEKE TEKENS. 28. HET IS NIET MOGELIJK DE 24 LAATST GEBRUIKTE WACHTWOORDEN VAN EEN ACCOUNT OPNIEUW TE GEBRUIKEN. 29. (DL/SL): STANDAARD WACHTWOORDEN WORDEN TIJDENS OF DIRECT NA DE INSTALLATIE GEWIJZIGD. 30. (DL/SL): INITIËLE WACHTWOORDEN MOETEN BIJ HET EERSTE GEBRUIK DOOR DE GEBRUIKER WORDEN GEWIJZIGD. 48 van 68

49 31. (DL/SL): INITIËLE WACHTWOORDEN ZIJN MAXIMAAL 14 DAGEN GELDIG, NA DEZE PERIODE WORDT HET ACCOUNT AUTOMATISCH GEBLOKKEERD. 32. (DL/SL): INITIËLE WACHTWOORDEN VOLDOEN AAN DE STANDAARD NORMEN EN MOGEN EENMALIG, UNIEK, GEBRUIKT WORDEN EN DIENEN DIRECT DOOR DE GEBRUIKER TE WORDEN GEWIJZIGD. 33. (DL/SL): WANNEER 5X ACHTER ELKAAR EEN INLOGPOGING VOOR EEN ACCOUNT MISLUKT, WORDT HET ACCOUNT VOOR 10 MINUTEN GEBLOKKEERD. BETREFT HET EEN BEHEERACCOUNT, DAN WORDT DAT ACCOUNT IN DAT GEVAL GEBLOKKEERD. 34. (DL/SL): RECHTEN WORDEN GEKOPPELD AAN ROLLEN, VERVOLGENS KUNNEN ROLLEN AAN GEBRUIKERS WORDEN GEKOPPELD. 35. (DL/SL): ALLEEN DE RECHTEN DIE NODIG ZIJN VOOR HET UITVOEREN VAN EEN BEPAALDE TAAK MOGEN AAN DE ROL WORDEN TOEGEKEND. VOORBEELDEN ZIJN LEES- EN SCHRIJFRECHTEN, TOEGANGSRECHTEN ETC. 36. (DL/SL): DE TOEGEWEZEN RECHTEN PER ROL EN ROLLEN PER GEBRUIKER/ACCOUNT ZIJN PER OBJECT VASTGELEGD IN EEN AUTORISATIEMATRIX. Logische afscherming 37. (DL/SL/NL): MINIMAAL BEHEER WACHTWOORDEN MOETEN VERCIJFERD OVER HET LAN/WAN EN DE OVERIGE VERBINDINGEN WORDEN GETRANSPORTEERD. 38. ER WORDT GEBRUIK GEMAAKT VAN STANDAARD ALGORITMEN, MINIMAAL AES 128 OF GELIJKWAARDIG, DIE ROBUUST ZIJN TEGEN MISBRUIK Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Locatie-onafhankelijkheid Autorisatiebeheersysteem Versterkte authenticatie Gebruik standaard algoritmen Gebruikt robuuste algoritmen Voldoen aan PKI-Overheid Uniek identificeerbaar Identiteit voor processen Identiteiten voor beheer Minimaal authenticatieniveau Sterke authenticatie bij extern gebruik Authenticatie voor mobiele systemen Wachtwoordsterkte Omgang default wachtwoorden Omgang initiële wachtwoorden Geldigheidsduur initiële wachtwoorden Beperkte geldigheidsduur wachtwoorden Versleutelen transport van wachtwoordinformatie Geen opslag van wachtwoorden Expiratiedatum van accounts Blokkeren bij expiratie van accounts Schermbeveiliging Automatische aanmeldblokkering Wachtwoord niet tonen Melding van geautoriseerd gebruik Tijdsduurrestricties voor inloggen Niet tonen van informatie voor aanmelding Tonen laatste login Niets mag, tenzij toegestaan Toestaan op basis van noodzaak tot gebruik Algehele toegangsbeveiliging Niveau van bevoegdheden 49 van 68

50 50 van 68

51 3.13 Patroon Demilitarized Zone Rationale: Informatie systemen welke vanuit onvertrouwde omgevingen worden benaderd kennen een hoger risicoprofiel ten aanzien van aanvallen of het ongeautoriseerd gebruikt te worden als doorstap naar andere interne systemen. Binnen de DWR omgeving is het belangrijk dat de betrokken organisaties onderling er van kunnen uitgaan dat dergelijke toegang goed is beveiligd Context: Figuur 20 Toepassing Demilitarized Zone Figuur 20 schetst hoe toegang vanuit onvertrouwde netwerken tot systemen de facto is geregeld binnen de DWR omgeving. Het locale netwerk is afgescheiden van het onvertrouwde netwerk, beide netwerken hebben toegang tot een demilitarized zone. Alleen de systemen binnen deze zone (de DMZ ) zijn dus toegankelijk vanuit het onvertrouwde netwerk. Het interne netwerk is afgeschermd voor toegang vanuit de DMZ, ook geldt dit (in nog sterkere mate) voor het beheernetwerk Oplossing Intern netwerk DMZ Onvertrouwd netwerk Subpatroon: Beveiligd koppelvlak voor vertrouwde netwerken Subpatroon: Generieke systeemconfiguratie Zonering Hardening Controle Alarmering Rapportering Subpatroon: Beveiligd koppelvlak voor onvertrouwde netwerken Subpatroon: Generieke serverconfiguratie Fysieke afscherming Out-of-band mgmt Geen overbodige applicaties/ services (strikt) Patching (strikt) HIDS/HIPS Log server Figuur 21 Patroon Demilitarized Zone 51 van 68

52 Figuur 21 schetst de IB-functies en mechanismen voor het patroon Demilitarized Zone. Binnen dit patroon worden de subpatronen Beveiligd koppelvlak voor vertrouwde netwerken, Beveiligd koppelvlak voor onvertrouwde netwerken en Generieke systeem configuratie hergebruikt en niet opnieuw beschreven. Het eerste genoemde koppelvlak schermt het interne netwerk af van de DMZ. De DMZ is als een (zij het een speciaal soort) vertrouwd netwerk te beschouwen het wordt immers van het onvertrouwde netwerk afgescheiden door het Beveiligd koppelvlak voor onvertrouwde netwerken en valt binnen het domein waarover de betreffende beheerorganisatie zelf de controle heeft. Zoals voor alle maatregelen in dit document, geldt dat beide koppelvlakken zwaardere maatregelen mogen bevatten dan hier beschreven zolang de interoperabiliteit niet wordt geschaad. Via de koppelvlakken ontstaat dus een zone, de DMZ. De zone zelf dient fysiek gescheiden te zijn van het interne netwerk. Dat betekent dat het DMZ LAN geen logische LAN kan zijn op dezelfde apparatuur als het interne netwerk. Een andere pijler van de beveiliging van de DMZ is de bescherming van de systemen daarin. Hardening van deze systemen verdient extra aandacht. De systemen lopen meer gevaar, omdat ze ook vanuit onvertrouwde zones te bereiken zijn. Ook dient extra aandacht te worden besteed aan logging en monitoring. Systemen dienen niet ongemerkt succesvol dan wel onsuccesvol te kunnen worden aangevallen. Tot slot is het beheer van de DMZ zelf en de systemen daarin een aandachtsgebied. Het mag niet mogelijk zijn dat via aangevallen systemen het beheerdomein gecompromitteerd wordt. Daarnaast is het onwenselijk dat door aanvallen (bv DoS) beheervoorzieningen onbereikbaar worden. Beheer van systemen, netwerk componenten vindt daarom plaats out-of-band (dat wil zeggen niet via het productie netwerk, ook niet logisch gescheiden daarbinnen). Bijvoorbeeld door toepassing van console servers welke zijn aangesloten op een fysiek gescheiden beheer segment binnen de DMZ Operationele normen: Zonering 1. (NL): DE DMZ IS ONTKOPPELD VAN HET ONVERTROUWDE NETWERK DOOR TOEPASSING VAN HET PATROON BEVEILIGD KOPPELVLAK VOOR ONVERTROUWDE NETWERKEN. 2. (NL): DE DMZ IS ONTKOPPELD VAN HET INTERNE NETWERK DOOR MINIMAAL TOEPASSING VAN HET PATROON BEVEILIGD KOPPELVLAK VOOR VERTROUWDE NETWERKEN. 3. (NL): DE DMZ IS GEREALISEERD MIDDELS FYSIEKE SCHEIDING. 4. (NL/SL): HET BEHEERNETWERK IS FYSIEK GESCHEIDEN VAN HET BEHEER SEGMENT IN DE DMZ. HET BEHEER VERLOOPT VIA OUT-OF-BAND VOORZIENINGEN. Hardening 5. (SL): ALLE SYSTEMEN BINNEN DE DMZ ZIJN GEHARDEND WAARBIJ REKENING GEHOUDEN IS HET DREIGINGSPROFIEL. Controle, Alarmering, Rapportering 6. (SL): ALLE AANVALLEN OP SYSTEMEN WORDEN GEDETECTEERD EN WAAR MOGELIJK OOK OP SYSTEEM NIVEAU TEGENGEHOUDEN. 52 van 68

53 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Redundante uitvoering componenten Geen Single Point of Failure (SpoF) bij redundantie Automatische opvang van uitval Scheiding tussen beheer en gebruik Rechten op basis van rollen Periodieke automatische malware-controle van opgeslagen gegevens Zonering toepassen Communicatie via beveiligd koppelvlak Eigen zone beheer Periodieke zone-evaluatie Vastlegging koppelingen Uitgebreide restricties Beperken communicatie tussen werkstations Beschermen continuïteit Verschillende beveiligingssystemen Automatische malware-controle Automatische syntax-controle Automatische format-controle Automatisch aanmelden Minimaal aanbod van applicaties Gestandaardiseerd beheer Geen overbodige applicaties Minimale rechten toekennen Minimaal gebruik van administrator/root account Correcte tijdsinformatie Alleen legitieme updates Controle op updates/patches Instellingen voldoen aan productstandaards 53 van 68

54 3.14 Patroon Logging/monitoring Rationale: Om beveiligingsincidenten te kunnen detecteren en analyseren is het toepassen van logging en monitoring noodzakelijk. Monitoring dient in het bijzonder voor het tijdig detecteren van incidenten, zodat er tijdig actie op kan worden ondernomen (alerting). De logging is van belang bij het analyseren van incidenten; als de detectie pas in een laat stadium plaatsvindt kan met behulp van de logging worden achterhaald welke gebeurtenissen eraan vooraf gingen Context: Figuur 22 Logging en monitoring binnen DWR Figuur 22 schetst de situatie met betrekking tot logging en monitoring binnen DWR. Informatie die van belang is voor het analyseren van beveiligingsincidenten moet worden gelogd. Deze informatie is verspreid over de objecten van DWR, en kan bestaan uit applicatie-, systeem- en netwerkgegevens. Dit betekent dat feitelijk alle objecten informatie/gebeurtenissen dienen te loggen. De beveiligingsfunctie die hiermee wordt gerealiseerd is die van Controle, alarmering en rapportering. 54 van 68

55 Oplossing Figuur 23 Patroon logging/monitoring Figuur 23 schetst de IB-functies en mechanismen voor het patroon logging/monitoring. Bij logging voor analyse van incidenten zijn de integriteit en beschikbaarheid belangrijk. De gewenste loggegevens dienen altijd te kunnen worden opgeslagen en daarna geraadpleegd te kunnen worden een zekere tijdsperiode na de logging. Inzage in de loggevens dient beperkt te zijn tot geautoriseerde personenen en de loggegevens zelf dienen voldoende informatie te verschaffen voor analyse maar niet voor doorbreken van beveiliging (denk aan opslag van wachtwoorden) Operationele normen Vastleggen van gebeurtenissen 1. (DL/SL): DE VOLGENDE TYPEN INFORMATIE MOETEN GELOGD WORDEN: a. AUTHENTICATIEPOGINGEN (AL DAN NIET SUCCESVOL) b. GEDETECTEEERDE MALWARE (WORMEN/VIRUSSEN/SPYWARE E.D.) c. TOEGANG TOT GEDEELDE BESTANDEN/INFORMATIE d. BEHEERACTIES VAN BEHEERDERS e. STORINGEN IN DE DIENSTVERLENING f. SIGNIFICANTE GEBRUIKERSHANDELINGEN 2. (DL/SL): EEN LOGREGEL MOET DE VOLGENDE INFORMATIE BEVATTEN: a. DATUM EN TIJDSTIP, MINIMAAL TOT OP SECONDENIVEAU b. GEBRUIKERSNAAM/IDENTIFICATIE c. WERKSTATION/LOCATIE INFORMATIE d. ACTIVITEIT e. HET OBJECT WAAROP DE ACTIVITEIT WERD UITGEVOERD f. INDIEN RELEVANT, HET RESULTAAT VAN DE ACTIVITEIT 3. (DL/SL): LOGREGELS HEBBEN EEN VOLGNUMMER EN EEN TIMESTAMP, WAARDOOR VERWIJDERDE REGELS GEDETECTEERD KUNNEN WORDEN. 55 van 68

56 4. (DL/SL): OM EEN GOEDE ANALYSE VAN INCIDENTEN MOGELIJK TE MAKEN MOETEN DE SYSTEMEN DIE LOGINFORMATIE VERSTUREN EEN GESYNCHRONISEERDE KLOK HEBBEN, MET EEN MAXIMALE AFWIJKING VAN 500 MILLISECONDEN. Controle, Alarmering, Rapportering 5. (DL/SL): OP HET MOGELIJK VOLLOPEN VAN HET OPSLAGMEDIUM VAN LOGGING-INFORMATIE DIENT ACTIEF GEMONITORD TE WORDEN. 6. (DL): AANPASSINGEN IN DE LOGGING WORDEN OP EEN SEPARAAT SYSTEEM GELOGD WORDEN OM FRAUDE TE DETECTEREN. (CONTROLE OP DE CONTROLEUR) 7. (DL/SL): BEVEILIGINGSINSTELLINGEN DIENEN TE WORDEN GEMONITORD, EN WIJZIGINGEN VAN BEVEILIGINGSINSTELLINGEN GELOGD. 8. (DL/SL): HET MOET MOGELIJK ZIJN OM WIJZIGINGEN PER ROL/ROLTOEWIJZING IN TE ZIEN VAN GEBRUIKERSACCOUNTS (VAN SYSTEMEN/WERKPLEKKEN). 9. (DL/SL): DE BELASTING VAN SERVERSYSTEMEN WORDT AUTOMATISCH GEMETEN EN KAN WORDEN UITGELEZEN VIA BIJVOORBEELD SNMP, MINIMAAL VERSIE (DL/SL): FIREWALL INSTELLINGEN EN ACTIES KUNNEN WORDEN GELOGD. 11. (DL/SL): RAPPORTAGE OVER LOGGING-INFORMATIE MET BETREKKING TOT BEVEILIGING DIENT MAANDELIJKS TE WORDEN OPGELEVERD AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER. 12. (DL/SL): TRENDANALYSES OVER BEVEILIGINGSGEBEURTENISSEN DIENEN MAANDELIJKS TE WORDEN OPGELEVERD AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER. 13. (DL/SL): BEVEILIGINGSINCIDENTEN WORDEN Z.S.M. (VOLGENS EEN VOORAF OPGESTELDE PROCEDURE) AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER GEMELD. BEWIJSMATERIAAL WORDT HIERBIJ AAN DE BEVEILIGINS FUNCTIONARIS/SECURITY OFFICER OVERHANDIGD. 14. (DL/SL): DE CONFIGURATIE VAN SYSTEMEN MOET ZIJN VASTGELEGD EN MOET INZICHTELIJK ZIJN VOOR BEHEERDERS EN ANDER GEAUTORISEERD PERSONEEL. Zonering 1. (DL/SL): DE INTEGRITEIT VAN LOGBESTANDEN MOET WORDEN GEWAARBORGD, SCHRIJFTOEGANG MOET ZOVEEL MOGELIJK WORDEN BEPERKT. 2. (DL/SL): EEN LOGREGEL BEVAT GEEN WACHTWOORDEN OF ANDERE INFORMATIE DIE TOT BEVEILIGINGSINCIDENTEN KAN LEIDEN. Identificatie, authenticatie, autorisatie 3. (DL): LOGGING INFORMATIE MAG ALLEEN DOOR GEAUTORISEERDE PERSONEN BENADERD WORDEN. 4. (DL/SL): ALLEEN GEAUTORISEERDE SYSTEMEN KUNNEN IN DE CENTRALE LOG-DATABASE SCHRIJVEN. 5. (DL/SL): ALLEEN GEAUTORISEERDE BEHEERDERS HEBBEN DE MOGELIJKHEID OM DE LOG- INSTELLINGEN TE WIJZIGEN OF LOGBESTANDEN AAN TE PASSEN. Continuïteitsvoorzieningen 6. (DL): HET OVERSCHRIJVEN OF VERWIJDEREN VAN LOGBESTANDEN WORDT IN HET NIEUWE LOGBESTAND GELOGD. 7. (DL): BEWAARTERMIJN: ALLE LOGGING-INFORMATIE MOET MINIMAAL 3 MAANDEN BEWAARD BLIJVEN, EN GEDURENDE DIE TIJD KUNNEN WORDEN INGEZIEN. LOGGING-INFORMATIE OVER EEN VERMOED INCIDENT MOET 5 JAAR BEWAARD BLIJVEN. (BEPALING VIR, VIR-BI) 8. (DL/SL): VOOR ARCHIVERING VAN (CENTRALE) LOGBESTANDEN DIENT EEN HASH VAN HET LOGBESTAND GEMAAKT TE WORDEN, DIE APART WORDT GEARCHIVEERD. 56 van 68

57 Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Inhoud van logging Inhoud van logregel Correcte tijdsinformatie Correcte systeemconfiguratie Geen gevoelige inhoud van logregel Integriteit van logbestanden Controle van integriteit van logbestanden Schrijftoegang tot logbestanden Leestoegang tot logbestanden Wijzigen en verwijderen logging Bewaartermijn logging Noteren van opschonen logging Controle op opslag van logging Technische beschikbaarheid logging Integriteit van beveiligingsinstellingen Correlatie en rapportage over gebeurtenissen Trendanalyses over gebeurtenissen Melden van beveiligingsgebeurtenissen Verzamelen van bewijsmateriaal 57 van 68

58 3.15 Patroon Backend-beheer Rationale: Servers hebben over het algemeen strenge beveiligingseisen; de beschikbaarheid moet hoog zijn, de informatie op de server mag niet door ongeautoriseerde personen worden ingezien en al helemaal niet ongeautoriseerd worden gewijzigd. Hetzelfde geld voor de netwerkinfrastructuur. Het beheer van deze systemen moet daarom aan bepaalde beveiligingseisen voldoen, om zo de een hoog niveau van vertrouwelijkheid, integriteit en beschikbaarheid te kunnen halen Context: Figuur 24 Backend-beheer binnen DWR Figuur 24 schetst de situatie rondom het backend-beheer binnen DWR. DWR servers en netwerkcomponenten, departementaal dan wel centraal, moeten worden beheerd. Dit omvat bijvoorbeeld het updaten van het besturingssysteem, het updaten van applicaties/diensten, het verhelpen van incidenten, etc. In dit patroon wordt geen onderscheid gemaakt tussen verschillende type beheerders (bijv. gericht op het besturingssysteem tegenover applicaties), de normen gelden in principe voor alle beheerders, ook voor externe beheerpartijen. De interne DWR systemen (de DWR servers en werkplekken) zijn direct gekoppeld aan het netwerk. Via een koppelvlak (van compartimenten, vertrouwde en onvertrouwde derden) hebben ook andere objecten toegang tot het DWR netwerk, dit is in vorige patronen toegelicht. Voor 58 van 68

59 beheer moeten extra beveiligingsmaatregelen genomen worden omdat beheertoegang meer rechten heeft. Deze maatregelen moeten ervoor zorgen dat het beheernetwerk logisch is gescheiden van andere, niet gerelateerde, netwerken (Zonering), dat onnodig verkeer niet wordt toegestaan (Filtering) en dat alleen beheerders toegang hebben tot het beheernetwerk (IAA). In het backend netwerk zelf wordt gezorgd dat de beschikbaarheid van het netwerk hoog is door waar nodig redundantie toe te passen (Continuiteitsvoorzieningen). De precieze netwerkinfrastructuur wordt bijgehouden, zoals de eigenschappen van de netwerkelementen en alle koppelingen (Vastleggen van gebeurtenissen). Meldingen die door de netwerkelementen worden gegenereerd worden opgeslagen en geanalyseerd, zodat incidenten worden gedetecteerd en afgehandeld (Controle, alarmering, rapportering). Hierdoor wordt het mogelijk om een hoog niveau van beschikbaarheid te halen Oplossing Figuur 25 Patroon backend-beheer Figuur 25 schetst de IB-functies en mechanismen voor het patroon backend-beheer. Toegang van beheer tot een server/component dient slechts onder strikte voorwaarden te geschieden om de beschikbaarheid, integriteit en vertrouwelijkheid van een servers, netwerkcomponenten en daarmee de DWR diensten te waarborgen. Beheer moet daarom plaatsvinden vanuit een aparte beheeromgeving (zonering) met beheeraccounts (functiescheiding) met beperkte rechten. Beheerders krijgen slechts toegang tot de beheeromgeving op basis van sterke authenticatie. 59 van 68

60 Operationele normen: Identificatie, authenticatie, autorisatie 1. (DL): BEHEER WORDT VANAF EEN CENTRAAL BEHEERSTATION UITGEVOERD VANUIT EEN APARTE BEHEEROMGEVING, HIERDOOR KUNNEN TOEGANGSRESTRICTIES STRICT WORDEN OPGELEGD. 2. (DL): IEDERE BEHEERDER HEEFT EEN PERSOONLIJK BEHEERDERSACCOUNT NAAST EEN EVENTUEEL MEDEWERKERSACCOUNT (FUNCTIESCHEIDING) 3. (DL): HET (PERSOONLIJKE) BEHEERDERSACCOUNT KRIJGT ALLEEN DIE RECHTEN DIE HET NODIG HEEFT VOOR HET BEHEER (HARDENING). 4. (DL): BEHEERDERS LOGGEN IN MET BEHULP VAN 2-FACTOR AUTHENTICATION, SPECIFIEK EEN TOKEN IN COMBINATIE MET EEN GEBRUIKERSNAAM EN WACHTWOORD/PIN. 5. (DL): BEHEERDERS MOETEN EEN NON-DISCLOSURE VERKLARING HEBBEN GETEKEND. 6. (DL): ER IS EEN FUNCTIESCHEIDING TUSSEN APPLICATIE-, DATABASE-, STORAGE-, NETWERK- EN SYSTEEMBEHEER. ONGEAUTORISEERDE BEHEERS HEBBEN DAARDOOR GEEN TOEGANG TOT DE INHOUD VAN INFORMATIE OBJECTEN. DE BVA IS EINDVERANTWOORDELIJK VOOR DE AUTORISATIES. Zonering 7. (DL): BEHEERTOEGANG TOT SYSTEMEN VIND ZOVEEL MOGELIJK PLAATS VIA EEN (LOGISCH GESCHEIDEN) BEHEERNETWERK, ZOWEL VOOR INTERNE ALS EXTERNE(DMZ S) NETWERKEN. Continuïteitsvoorzieningen 8. (DL): BEHEERTAKEN VINDEN ZOVEEL MOGELIJK VIA GESTANDAARDISEERDE METHODES PLAATS, D.W.Z. VIA SCRIPTS/APPLICATIES. 9. (DL): EEN KEER PER WEEK WORDEN DE SERVERS EN NETWERKCOMPONENTEN AUTOMATISCH IN KAART GEBRACHT, OM ZO ONGEAUTORISEERDE SYSTEMEN TE ONTDEKKEN, OF SYSTEMEN DIE ZIJN VERDWENEN. 10. (DL): EEN KEER PER JAAR WORDEN DE SERVERS EN NETWERKCOMPONENTEN HANDMATIG IN KAART GEBRACHT, OM ZO DE AUTOMATISCHE INVENTARISATIE TE CONTROLEREN. 11. (DL): ONBEKENDE APPARATEN, NAMELIJK SYSTEMEN DIE NIET TE HERLEIDEN ZIJN TOT EEN EIGENAAR/VERANTWOORDELIJKE, DIENEN AAN DE SECURITY OFFICER GERAPPORTEERD TE WORDEN. 12. (DL): BEHEERDERS BEWAKEN DE BESCHIKBAARHEID VAN DE DWR COMPONENTEN Relatie tactische normen: Onderstaande tabel geeft aan welke tactische normen dit patroon afdekt in zijn toepassingsgebied. Norm Bewaken beschikbaarheid componenten Eigen zone beheer Eén beheerinstantie per zone Gestandaardiseerd beheer 60 van 68

61 3.16 Patroon Data recovery Rationale: Omdat de dienst DWR een vastgesteld beschikbaarheidniveau moet halen is het maken van backups en de mogelijkheid tot restoren van de veiliggestelde data noodzakelijk. Als de data op een informatiesysteem onverhoopt beschadigd raakt moet het mogelijk zijn om terug te gaan naar een integere situatie. In dit patroon worden de maatregelen genoemd om op een veilige wijze de data recovery (backup & restore) cyclus in te richten Context: Figuur 26 Data recovery binnen DWR Figuur 26 schetst de situatie binnen DWR rondom data recovery. Als maatregel voor het realiseren van een hoge beschikbaarheid wordt de data die in de informatiesystemen is opgeslagen gebackupt (Continuïteitsvoorziening). Of dit succesvol is gebeurd moet worden gecontroleerd en vastgelegd (Vastleggen van gebeurtenissen). Een onmisbare methode van controle is het uitvoeren van proef-restores. Toegang tot de backup-informatie moet worden afgeschermd; alleen de noodzakelijke beheerders mogen toegang hebben. Dit kan door het gebruik van encryptie worden gerealiseerd (Zonering). De backups worden zowel on-site als off-site opgeslagen, wat weer een vorm van continuïteitsvoorziening is, en daar moet ook de fysieke toegang tot de backups worden afgeschermd tot alleen geautoriseerde personen (IAA). Ongeautoriseerde toegang moet worden gemeld, zodat er maatregelen getroffen kunnen worden (Controle, alarmering, rapportering). 61 van 68

62 Oplossing Figuur 27 Patroon Data recovery Figuur 27 schetst de IB-functies en mechanismen voor het patroon data recovery. Het maken van backups is een taak van beheer en de toegang (authorisatie) tot gemaakte backups dient beperkt te zijn tot de daarvoor verantwoordelijke beheerders om zo de beschikbaarheid, integriteit en vertrouwelijkheid van de op de backups opgeslagen data te kunnen waarborgen. Om dit te waarborgen dient ook zorgvuldig omgegaan te worden met de datadragers voor de backups en de procedures voor het maken van backups. De correcte werking van de datadrager zelf dient te worden gewaarborgd en bij opslag dient te worden gecontroleerd of de data correct is opgeslagen Operationele normen Continuïteitsvoorzieningen 1. (SL): ELKE BACKUP WORDT OP EEN APARTE DATADRAGER OPGESLAGEN 2. (SL): DAGELIJKS WORDT EEN INCREMENTELE BACKUP GEMAAKT VAN DE INFORMATIE OBJECTEN (DATA) 3. (SL): WEKELIJKS WORDT EEN FULL BACKUP GEMAAKT VAN DE INFORMATIE OBJECTEN (DATA) 4. (SL): ER WORDT EEN FULL BACKUP GEMAAKT VOOR EN NA IEDERE SOFTWARE UPDATE/PATCH 5. (SL): DAGELIJKSE BACKUPS WORDEN 1 MAAND BEWAARD 6. (SL): WEKELIJKSE BACKUPS WORDEN 3 MAANDEN BEWAARD 7. (SL): IEDERE 3 MAANDEN WORDT ER EEN RESTORE-TEST UITGEVOERD OM TE CONTROLEREN OF DE OPGELSAGEN DATA OOK ECHT TERUG GEHAALD KAN WORDEN 8. (SL): BACKUP MEDIA WORDT PERIODIEK VERVANGEN (AFHANKELIJK TYPE MEDIA) 9. (SL): BACKUPS VAN ONEVEN WEKEN WORDEN OFF-SITE BEWAARD, MINIMAAL 500 METER VAN DE ON-SITE LOCATIE GESCHEIDEN Controle, Alarmering, Rapportering 10. (SL): BESTAANDE BACKUPS WORDEN 1X PER JAAR GETEST OP INTEGRITEIT 11. (SL): ER WORDT GECONTROLEERD OF EEN BACKUP PROCES SUCCESVOL IS GEWEEST 62 van 68

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Versie 1.0 Datum 30 oktober 2013 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 5 2 Beveiligingseisen en richtlijnen... 8 2.1 Patroon

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Tactisch Normenkader Beveiliging DWR

Tactisch Normenkader Beveiliging DWR Tactisch Normenkader Beveiliging DWR Versie: 1.0 Datum: 1-10-2009 Management samenvatting Dit Tactisch Normenkader Beveiliging DWR bevat de tactische beveiligingsnormen die gelden voor de ICT-voorzieningen

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

NORA dossier Informatiebeveiliging. Architectuur Aanpak

NORA dossier Informatiebeveiliging. Architectuur Aanpak Architectuur Aanpak Architectuur Aanpak Auteur Versie Status Den Haag, Jaap van der Veen en Bart Bokhorst; Belastingdienst 1.3 Definitief 01-09-2010 3/16 Inhoud 1 Inleiding 4 2 Modelleringaanpak 5 3 Model

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Anti-malware beleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Anti-malware beleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Anti-malware beleid Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

1. Overzichtsdocument Normenkaders Rijkspas

1. Overzichtsdocument Normenkaders Rijkspas 1. Overzichtsdocument Normenkaders Rijkspas Versie 7.0 Datum September Status Definitief RIJKSPAS definitief 01. Overzicht normenkaders v 7.0 September Colofon Programmanaam Rijkspas Versienummer 7.0 Datum

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Dienstbeschrijving Diginetwerk

Dienstbeschrijving Diginetwerk Dienstbeschrijving Diginetwerk Versie 1.2 Datum 4 oktober 2010 Status Definitief Colofon Projectnaam Diginetwerk Versienummer 1.2 Organisatie Logius Service Management servicecentrum@logius.nl Bijlage(n)

Nadere informatie

Firewallpolicy VICnet/SPITS

Firewallpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Firewallpolicy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Voorbeelden generieke inrichting Digikoppeling

Voorbeelden generieke inrichting Digikoppeling Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Hoe zorgt u voor maximale uptime met minimale inspanning?

Hoe zorgt u voor maximale uptime met minimale inspanning? Hoe zorgt u voor maximale uptime met minimale inspanning? Qi ict Delftechpark 35-37 2628 XJ Delft T: +31 15 888 04 44 F: +31 15 888 04 45 E: info@qi.nl I: www.qi.nl De service-overeenkomsten van Qi ict

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding... 1. 1.1 Doel... 1. 1.2 Voor wie?... 2. 2 Risico en maatregelen...

Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding... 1. 1.1 Doel... 1. 1.2 Voor wie?... 2. 2 Risico en maatregelen... Inhoudsopgave 1 Inleiding... 1 1.1 Doel... 1 1.2 Voor wie?... 2 2 Risico en maatregelen... 2 2.1 Risicoanalyse... 2 2.2 Aanvullende maatregelen... 2 3 De set van minimale maatregelen... 3 3.1 Risicobeoordeling

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Ministerie van Infrastructuur en Milieu Beheerst naar beheer

Ministerie van Infrastructuur en Milieu Beheerst naar beheer Document D-2 Ministerie van Infrastructuur en Milieu Beheerst naar beheer Versie 1.0 Datum 15 juli 2014 Status Definitief Colofon Versie 1.0 Contactpersoon Paul Leunissen M 06-5250 6691 Paul.Leunissen@minienm.nl

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Digitaal Archief Vlaanderen Stappenplan & Projectfiches

Digitaal Archief Vlaanderen Stappenplan & Projectfiches www.pwc.be Digitaal Archief Vlaanderen Stappenplan & Projectfiches september 2013 1. Inleiding In dit deel van de studie rond het Digitaal Archief Vlaanderen bekijken we het technische stappenplan dat

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE Blackboard Managed Hosting SURF Cloud Vendordag Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE 2 Agenda SURF Cloud strategie Blackboard Managed Hosting & Private Cloud Blackboard

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

Aansluitvoorwaarden Diginetwerk

Aansluitvoorwaarden Diginetwerk Aansluitvoorwaarden Diginetwerk 16 december 2010, versie 1.71 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze Aansluitvoorwaarden de volgende betekenis:

Nadere informatie

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer PIN B.V. BIJLAGE J Rules & Regulations bepalingen Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer Versie : 3.2 Datum : januari 2009 Inhoudsopgave 1 Inleiding...

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2010 2011 32 500 VII Vaststelling van de begrotingsstaten van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) voor het jaar 2011 Nr. 110

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Strategie Applicatie integratie Open.Amsterdam project. versie 1.0 juni 2008

Strategie Applicatie integratie Open.Amsterdam project. versie 1.0 juni 2008 Strategie Applicatie integratie Open.Amsterdam project versie 1.0 juni 2008 Document informatie Versiebeheer Versie Datum Auteur Activiteiten 1.0 juni 2008 drs. E. Willemsen Initiële opzet Archivering

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

NORA sessie 3. Samenaande slag! Generiek raamwerk. Onderwerp: 16 jan. 2013. Expertgroep NORA katern Beveiliging. Jaap van der Veen

NORA sessie 3. Samenaande slag! Generiek raamwerk. Onderwerp: 16 jan. 2013. Expertgroep NORA katern Beveiliging. Jaap van der Veen NORA sessie 3 Onderwerp: Samenaande slag! Generiek raamwerk 16 jan. 2013 katern Beveiliging Jaap van der Veen Bron: o.a: presentatie NCSC van dr.wiekram Tewarie Opdracht NORA katern - B 1. Samenhang van

Nadere informatie

Praktijkinstructie Beveiliging informatiesystemen

Praktijkinstructie Beveiliging informatiesystemen instructie Beveiliging informatiesystemen 4 (CIN15.4/CREBO:50141) pi.cin15.4.v1 ECABO, 1 januari 1998 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170)

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170) instructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170) pi.cin02.3.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen,

Nadere informatie

Presentatie NORA/MARIJ

Presentatie NORA/MARIJ Presentatie NORA/MARIJ 6 november 2009 Peter Bergman Adviseur Architectuur ICTU RENOIR RENOIR = REgie NuP Ondersteuning Implementatie en Realisatie Overzicht presentatie Families van (referentie-)architecturen

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 Inhoudsopgave Inhoudsopgave... 2 1 mpix VPN... 3 2 Productbeschrijving... 4 2.1 mpix en IP-VPN... 5 2.2 Kwaliteit... 7 2.3 Service

Nadere informatie

Informatiebeveiligingsafspraken IWPI (gegevensuitwisseling via de spelverdeler t.b.v. implementatie wet en protocol identiteitsvaststelling)

Informatiebeveiligingsafspraken IWPI (gegevensuitwisseling via de spelverdeler t.b.v. implementatie wet en protocol identiteitsvaststelling) Informatiebeveiligingsafspraken IWPI (gegevensuitwisseling via de spelverdeler t.b.v. implementatie wet en protocol identiteitsvaststelling) IBA-SRK Versie 1.04 Versie 0.4 Datum 29 augustus 2012 Status

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Cloud Services Uw routekaart naar heldere IT oplossingen

Cloud Services Uw routekaart naar heldere IT oplossingen Cloud Services Uw routekaart naar heldere IT oplossingen Uw IT schaalbaar, altijd vernieuwend en effectief beschikbaar > Het volledige gemak van de Cloud voor uw IT oplossingen > Goede schaalbaarheid en

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Computernetwerken Deel 2

Computernetwerken Deel 2 Computernetwerken Deel 2 Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryp>e: gegevens verbergen Firewall Waarom? Filteren van pakkeben Wildcard mask: omgekeerd subnetmasker

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Hoofdstap 3 Voorbereiden Publicatiedatum: oktober 2014 Inleiding U heeft een vastgesteld plan van aanpak, u weet welke voorbereidende werkzaamheden

Nadere informatie

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN

Nadere informatie

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

Certificate Policy Bedrijfstestomgeving ZOVAR

Certificate Policy Bedrijfstestomgeving ZOVAR Certificate Policy Bedrijfstestomgeving ZOVAR Uitgave : agentschap Versie : 1.0 Definitief Datum : 26-7-2007 Bestandsnaam : 20070726 CP bedrijfstestomgeving ZOVAR 1.0.doc Organisatie ZOVAR Pagina 2 van

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Bijlage Risicoanalyse steekproeftrekking

Bijlage Risicoanalyse steekproeftrekking Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie