Tactisch Normenkader Beveiliging DWR

Transcriptie

1 Tactisch Normenkader Beveiliging DWR Versie: 1.0 Datum:

2 Management samenvatting Dit Tactisch Normenkader Beveiliging DWR bevat de tactische beveiligingsnormen die gelden voor de ICT-voorzieningen van de Digitale Werkomgeving Rijk (DWR). Deze tactische normen zijn het bindende vertrekpunt voor de beveiligingsmaatregelen op operationeel niveau. In de Operationele Baseline is tevens een referentie opgenomen, zodat zichtbaar is welke normen zijn een specifieke operationele invulling hebben gekregen. Het tactisch normenkader is primair van toepassing op (en beperkt zich tot) generieke ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR desktop en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit normenkader zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. De indeling en inhoud zijn gebaseerd op die van de NORA Normen Informatiebeveiliging ICTvoorzieningen [noraibict], die momenteel ontwikkeld worden door de NORA werkgroep beveiliging en privacy. Daarnaast zijn eisen uit de Code voor Informatiebeveiliging opgenomen die betrekking hebben op de (beheer-)omgeving van de ICT-voorzieningen. De referenties naar de CvIB zijn opgenomen bij de normen in dit document. Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend: 1. Dienstleverancier 2. Systeemleverancier 3. Netwerkleverancier Per eis is aangegeven voor welke van bovenstaande rollen deze van toepassing is. Dit maakt het mogelijk om te bepalen welke subset van normen aan een leverancier dient te worden opgelegd. Bij het opstellen van het normenkader is er vanuit gegaan dat er één generiek basisbeveiligingsniveau geldt binnen de centrale DWR infrastructuur. Deze normen zijn in het kader met de kleur blauw aangegeven. Aan alle blauwe normen in dit document moet zijn voldaan worden om dit basisniveau te bereiken. In sommige gevallen kan het zijn dat er extra normen worden gesteld, bijvoorbeeld vanuit het gebruik van bepaalde informatiesystemen met een hoger beveiligingsniveau. Hierop vooruitlopend zijn in het document aanvullende rode normen opgenomen die in dat geval van kracht kunnen worden. Deze normen horen dus niet bij het basis beveiligingsniveau, maar worden van kracht als een dienst of systeem een hogere mate van beveiliging vereist. Let wel: deze rode normen gelden dan voor de generieke ICT voorzieningen van DWR, die noodzakelijk op een hoger niveau moeten worden gebracht. Het blijft de verantwoordelijkheid van de eigenaar van een informatiesysteem om op applicatieniveau maatregelen te implementeren die vereist zijn vanuit de ondersteuning van het bedrijfsproces. 2 van 63

3 Dit normenkader heeft als uitgangspunt om te voldoen aan de WBP risicoklasse 2. De rode normen zijn de opstap om in de toekomst het beveiligingsniveau te kunnen verhogen. Hiermee wordt aansluiting gevonden met de reeds eerder opgestelde kaders. In opvolging van de door veel departementen geuite wens om een vertrouwelijkheidsniveau van Departementaal Vertrouwelijk in de basis te ondersteunen, zal een vervolgonderzoek plaatsvinden. Dit vervolgonderzoek maakt inzichtelijk in hoeverre het voorliggende normenkader dit niveau al kan ondersteunen, en in hoeverre aanvullende normen noodzakelijk zijn. Het is aannemelijk dat een aantal van de rode normen, voor zover zij betrekking hebben op het aspect vertrouwelijkheid, hierin kan voorzien. 3 van 63

4 Versiebeheer Versie Datum Steller Veranderingen/commentaar EO, TH Update naar NORA 0.52 en context DWR TH, EO, AS Integratie maatregelen voor leveranciers DWR BP Toevoeging management summary & inleiding TH, EO, AS, BP Review en redactieslag door auteurs SD, EO Verwerken review commentaar BP Overdracht naar DWR 0.99a-j TM Verwerken commentaar externe review 0.99k TM & LG Verwerken laatste commentaar t.b.v. versie PB LG Definitieve versie, vastgesteld door PB, geen inhoudelijke aanpassingen Auteur(s) AS EO TH BP TM LG Andre Smulders Eddy Olk Tim Hartog Bert Jan te Paske Twan van der Meer Leon Grinwis 4 van 63

5 Inhoudsopgave 1 Inleiding Doel van het document Afbakening Doelgroep Ontwikkeling document Samenhang met andere documenten Relatie VIR en VIR-BI Opzet Leeswijzer 12 2 Beveiliging van ICT voorzieningen Continuïteitsvoorzieningen Redundante uitvoering van ICT-voorzieningen Herstelbaarheid van verwerking Bewaking en alarmering Controle op informatieverwerking Functiescheidingen Invoercontroles Uitvoercontroles Verwerkingsbeheersing Bestandscontrole Afstemming met generieke ICT-voorzieningen Scheiding: logische afscherming Toepassen van versleuteling Gebruik van robuuste standaard algoritmen Gebruik van betrouwbare cryptografische producten Sleutellengte Exclusiviteit sleutels Scheiding: zonering en grensbescherming Indeling in zones Reguleren van communicatie tussen en binnen zones (filtering) Identificatie, Authenticatie, Autorisatie Identificatie Authenticatie Sterke wachtwoorden Instellingen aanmelden op een systeem Autorisatie Tegengaan onbedoeld gebruik autorisaties Minimaliseren rechten Beheerbaarheid Vastlegging van gebeurtenissen Aanmaken logbestanden Integriteit logbestanden Beschikbaarheid logbestanden 47 5 van 63

6 2.7 Controle, alarmering en rapportering Automatische signalering Controle op beveiligingsinstellingen Analyse en rapportage Systeemintegriteit Modificatie, actualiteit en zwakheden Mobile code (programmatuur die wordt overgedragen tussen systemen) 51 3 Beveiliging omgeving ICT voorzieningen Beveiligingsmaatregelen met betrekking tot personeel Voorafgaand aan het dienstverband Tijdens het dienstverband Beëindiging of wijziging van het dienstverband Fysieke beveiliging en beveiliging van de omgeving Beveiligde ruimten Beveiliging van apparatuur Rapportage en beheer van informatiebeveiligingsincidenten Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Beheer van beveiligingsincidenten en -verbeteringen 59 4 Referenties 60 5 Afkortingenlijst 61 6 Begrippenlijst 62 6 van 63

7 1 Inleiding Het voorliggende normenkader is een resultaat van het programma DWR (Digitale Werkomgeving Rijk). De doelstelling van DWR is het leveren van een uniforme digitale werkomgeving, ondersteund door een interdepartementale infrastructuur, die Rijksambtenaren toegang geeft tot alle informatie en functionaliteit die nodig is om hun taken alleen en in gezamenlijkheid te kunnen vervullen [progdwr]. Het programma DWR is gevormd door de bundeling van diverse lopende rijksbrede ICT-initiatieven, waaronder Rijksweb en GOUD. De door het programma DWR opgeleverde resultaten zullen in beheer worden genomen door een lijnorganisatie die verantwoordelijk wordt voor de levering van DWR-voorzieningen aan de afnemende departementen. De Digitale Werkomgeving Rijksdienst biedt de rijksmedewerker op elk gewenst moment op elke plaats de voorzieningen om op veilige wijze te beschikken over de digitale informatie die hij voor zijn werk nodig heeft. 1.1 Doel van het document Het doel van dit document is om de partijen die betrokken zijn bij het tot stand komen, leveren en/of beheren van DWR-voorzieningen een overzicht te geven van de beveiligingseisen op tactisch niveau. Deze eisen zijn niet vrijblijvend en moeten door de betrokken partijen geïmplementeerd worden. De tactische eisen bepalen bindend de toegestane ruimte voor de uitwerking van beveiligingsmaatregelen op operationeel niveau. Uitgangspunt is dat het tactisch normenkader voor een periode van enkele jaren toepasbaar zal zijn. Gezien de dynamiek rondom DWR wordt geadviseerd om het normenkader tenminste jaarlijks te toetsen en waar nodig bij te stellen zodat wijzigingen in de opzet en scope van DWR hun weerslag krijgen in de te nemen beveiligingsmaatregelen. 1.2 Afbakening De scope van dit tactisch normenkader wordt afgebakend door a. het niveau waarop de eisen zijn geformuleerd; b. waar de eisen toegepast dienen te worden (het bereik); c. de beveiligingsaspecten waarop de eisen betrekking hebben. 7 van 63

8 (Rijks)overheid Waarom VIR VIR-BI NORA, MARIJ Strategie Hoe Wat Tactisch Normenkader Operationele Baseline Tactisch Operatie Diensten DWR Ad a. De eisen in dit normenkader zijn op tactisch niveau geformuleerd. De strategische kaders VIR, VIR-BI, NORA en MARIJ hebben hierbij als basis gediend. Tijdens het ontwikkeltraject gebleken dat er behoefte is aan een nadere invulling van deze strategische normen. De uitwerking hiervan zal in een ander traject opgepakt worden. De tactische normen kunnen op diverse manieren operationeel ingevuld worden. Deze invulling maakt geen deel uit van dit document, maar zijn beschreven in de Operationele Baseline DWR. Ook de eisen aan de organisatiestructuur die de operationele invulling moet faciliteren en toetsen aan het tactisch normenkader zijn geen onderdeel van dit document. Ad b. Het tactisch normenkader is primair van toepassing op (en beperkt zich tot) generieke ICTvoorzieningen die door DWR worden geleverd en/of beheerd. Dit omvat de centrale infrastructuur, hardware en applicaties. Daarnaast ook de software op de DWR desktop en server based DWR-applicaties die door de departementen zelf worden beheerd. In dit normenkader zijn ook eisen geïntegreerd welke afnemers aan elkaar stellen teneinde een beveiligingsketen te bewerkstelligen met in ieder domein van de keten een gelijk beveiligingsniveau. Infrastructuren en componenten van afnemers kunnen mede bepalend zijn voor het algehele beveiligingsniveau van de DWR-voorzieningen. Om dit risico weg te nemen zijn er aansluitvoorwaarden opgesteld. Afnemers van DWR-voorzieningen moeten voldoen aan deze aansluitvoorwaarden. 8 van 63

9 Ad c. De hoofdmoot van de eisen in dit normenkader heeft betrekking op de beveiliging van de ICTvoorzieningen van DWR. Het betreft hier vooral technische eisen. Daarnaast zijn eisen opgenomen aan de omgeving van de ICT-voorzieningen. Deze richten zich op hoe de omgeving van de ICT-voorzieningen dient te worden ingericht, bijvoorbeeld ten aanzien van fysieke beveiliging en procedures. 1.3 Doelgroep De doelgroep van dit document is grofweg in tweeën te delen. De eerste groep bestaat uit partijen die op tactisch niveau verantwoordelijk zijn voor het stellen van beveiligingskaders en de controle op naleving hiervan. Hierbij kan worden gedacht aan productmanagers en systeemeigenaren van de diensten van DWR die verantwoordelijk zijn voor de levering van DWR-voorzieningen aan de afnemende departementen, en de inrichting en beheer van de onderliggende ICT uitbesteden. De tweede groep bestaat uit diegenen die betrokken zijn bij implementatie en beheer van deze voorzieningen. Het gaat hier om interne of externe leveranciers en beheerpartijen; deze dienen operationele maatregelen, zoals beschreven in de Operationele Baseline, te implementeren op basis van de in dit document beschreven tactische normen. Dit document zal tevens als referentie gebruikt worden door controlerende instanties. 1.4 Ontwikkeling document Dit tactisch normenkader is het resultaat van de samenwerking van experts van departementen, DWR en TNO. De basis voor dit document is afkomstig van GOUD. Tijdens de ontwikkeling van het tactisch normenkader hebben afgevaardigden van alle departementen informatie geleverd om het document aan te laten sluiten bij de behoeften van de departementen. Als afsluiting hebben deze personen ook bijgedragen aan de finale review. Alle bemerkingen van deze review zijn verwerkt in het document 1.5 Samenhang met andere documenten Het tactisch normenkader DWR is gebaseerd op het tactisch normenkader SBW [tnksbw] dat door het project GOUD is opgesteld. De scope is uitgebreid tot het geheel van de DWRvoorzieningen. Dit normenkader zal het GOUD normenkader SBW vervangen. Het normenkader GOUD komt hiermee te vervallen 1. Het Normenkader Informatiebeveiliging Rijksweb [nir] bevat de normen voor het waarborgen van een adequaat niveau van beveiliging van Rijksweb (nu DWR). De normen zijn gericht op 1 Normen en maatregelen die specifiek zijn voor GOUD, omdat ze uit de aanbesteding voortvloeien, zijn opgenomen in een addendum. 9 van 63

10 informatiebeveiliging, geformuleerd op tactisch niveau en gebaseerd op het niveau WBP risicoklasse 2. Het tactisch normenkader en de operationele baseline DWR overlappen het [nir] en zullen op termijn geconsolideerd worden binnen bredere consolidatieslag t.a.v. IB normenkaders. Het Normenkader Mobiele Informatiedragers Rijksoverheid [mdd] vormt een interdepartementaal normenkader voor beveiliging van en veilige omgang met mobiele informatiedragers. Het tactisch normenkader en de operationele baseline DWR gaan uit van genoemde normenkader. Voor normen t.a.v. mobiele informatiedragers,wordt naar [mdd] verwezen. De indeling en inhoud van voornoemde normenkaders volgen die van de NORA Normen Informatiebeveiliging ICT-voorzieningen [noraibict], die momenteel ontwikkeld worden door de NORA werkgroep beveiliging en privacy. Daarbij zijn de operationele maatregelen op tactisch niveau geherformuleerd dan wel verwijderd. Dit om de houdbaarheid van dit normenkader te verhogen. In het tactisch normenkader DWR zijn daarnaast eisen uit de Code voor Informatiebeveiliging [cvib] onverkort overgenomen, voor zover die relevant zijn binnen de context van DWR en niet in [noraibict] voorkomen. Het betreft hier vooral eisen aan de (beheer- )omgeving van de ICT-voorzieningen. In de operationele baseline DWR [obdwr] wordt een deel van de eisen uit dit tactisch normenkader uitgewerkt in operationele maatregelen. De structuur van [obdwr] is gebaseerd op IB-patronen, standaardoplossingen voor veelvoorkomende beveiligingssituaties die herbruikbaar zijn op diverse plaatsen binnen de ICT-voorzieningen van DWR. Deze patronen vullen een deel van de tactische eisen uit dit normenkader in, echter niet alle eisen zijn relevant binnen de context van de beschreven patronen. Het gebruik van een baseline sluit aan bij de voorschiften in VIR VIR 2007 schrijft hierover: Een ministerie kan er voor kiezen om een gemeenschappelijk stelsel van betrouwbaarheidseisen, normen en/of maatregelen af te spreken. Zo'n stelsel zal in het algemeen betrekking hebben op het merendeel van de informatiesystemen dat gebruikt wordt en ontlast tot op zekere hoogte de individuele lijnmanagers van hun taak om informatiebeveiliging gedetailleerd inhoud te geven. Dit houdt bijvoorbeeld in de wijze waarop de logische en/of fysieke toegangsbeveiliging binnen (delen van) het ministerie gerealiseerd wordt. Of het bestaat uit een pakket aan betrouwbaarheidseisen die aan de 'normale' processen en ondersteunende informatiesystemen worden gesteld (daarbij kunnen indien nodig aanvullend per informatiesysteem specifieke eisen worden gesteld). Een dergelijk stelsel wordt veelal aangeduid met de term baseline. 1.6 Relatie VIR en VIR-BI Binnen de Rijksdienst wordt de verantwoordelijkheid van het lijnmanagement voor informatiebeveiliging beschreven in het Voorschrift Informatiebeveiliging Rijksdienst (het VIR). In het VIR-BI is uitwerkt aan welke eisen moet zijn voldaan indien informatie valt onder de categorie bijzondere informatie (Departementaal Vertrouwelijk en Staatsgeheimen). 10 van 63

11 Waar het VIR-BI ingaat op de eisen die bepaalde categorieën van informatie stellen, gaat het VIR ook over de rol die informatiesystemen bij de verwerking van informatie spelen. De gedachte hierachter is dat de beveiligingseisen aan informatie voortvloeien uit het proces dat ermee wordt ondersteund, en dat het proces veelal ondersteund wordt door technologie (een applicatie ) en organisatie (werkprocessen). De informatiebeveiliging zoals bedoeld in het VIR gaat over de waarborgen die moeten worden gerealiseerd in het informatiesysteem inclusief deze organisatieaspecten. Het toepassen van het tactisch normenkader heeft geen betrekking op de departementale informatiesystemen, en ontslaat de afzonderlijke departementen en DWR vanzelfsprekend niet van de verantwoordelijkheid om te voldoen aan het VIR en VIR-BI. Het tactisch normenkader richt zich op de centrale DWR infrastructuur met bijbehorende diensten, maar niet op de primaire informatiesystemen en infrastructuren van de departementen. Nota Bene: DWR zelf levert een aantal diensten die als informatiesysteem zouden kunnen worden aangemerkt, zoals de DWR samenwerkingsfunctionaliteit (SWF). De DWR draagt hiervoor de verantwoordelijkheid zoals in het VIR aan het lijnmanagement is toegekend. In onderstaande tekening is dit verder verduidelijkt. Departementale Informatie Systemen Departementale Informatie Systemen DWR-SWF DWR- Portaal Generieke DWR infrastructuur De onderdelen in het grijze vlak moeten voldoen aan het tactisch normenkader. Zoals eerder gemeld kan, via aansluitvoorwaarden, het normenkader ook doorwerken naar departementale componenten en informatiesystemen. 1.7 Opzet Het tactisch normenkader DWR bevat eisen die relevant zijn voor de beveiliging van DWRvoorzieningen. Niet alle eisen zijn echter relevant voor elke voorziening, of voor elke (ICT-) component die een rol speelt bij de levering van een voorziening. Per geval zal moeten worden vastgesteld welke eisen van toepassing zijn en dus aan de leverende partij moeten worden opgelegd. De rollen van de verschillende leveranciers is in onderstaande tabel beschreven. 11 van 63

12 Bij levering en beheer van de DWR-voorzieningen worden de volgende rollen onderkend: DL SL NL Rol Dienstleverancier Deze levert een dienst; dit kan een applicatie zijn die direct door eindgebruikers kan worden benaderd of een ondersteunende dienst. Systeemleverancier Deze levert de (niet-netwerk-) systemen die de dienstleveranciers in staat stelt om hun diensten aan te bieden. Netwerkleverancier Deze levert de netwerkinfrastructuur. Onderdelen hiervan zijn bijvoorbeeld routers, switches, netwerkkabels en patchkasten. Niveau Applicaties Systemen Communicatie In het tactisch normenkader is per eis aangegeven voor welke rollen deze van toepassing is. Opgemerkt moet worden dat deze (uitvoerende) rollen door verschillende partijen ingevuld kunnen worden en dat een partij meerdere rollen kan vervullen. Ondanks het eventueel laten uitvoeren van bepaalde werkzaamheden door derden en de daarmee samenhangende verantwoordelijkheid voor de uitvoering, blijft de eindverantwoordelijkheid liggen bij de ketenverantwoordelijke. Het beveiligingsniveau wordt, in overeenstemming met de basisprincipes van informatiebeveiliging, opgesplitst in de categorieën Beschikbaarheid, Integriteit en Vertrouwelijkheid. In de gestelde normen is aangegeven op welke principe de norm van toepassing is. Het normenkader is er op gericht dat de generieke DWR infrastructuur en diensten voldoende zijn om een vertrouwelijkheidsniveau WBP risicoklasse 2 te ondersteunen. Hiermee wordt aansluiting gevonden met de reeds eerder opgestelde kaders. Voor de integriteits- en beschikbaarheidsaspecten in dit normenkader hebben de risicoanalyses welke zijn uitgevoerd door TNO tijdens het GOUD traject en door departementen ingebrachte best practices als basis gediend. Op basis van deze informatie heeft het basisbeveiligingsniveau zijn huidige vorm en niveau verkregen. In opvolging van de door veel departementen geuite wens om een vertrouwelijkheidsniveau van Departementaal Vertrouwelijk in de basis te ondersteunen, zal een vervolgonderzoek plaatsvinden. Dit vervolgonderzoek maakt inzichtelijk in hoeverre het voorliggende normenkader dit niveau al kan ondersteunen, en in hoeverre aanvullende normen noodzakelijk zijn. Het is aannemelijk dat een aantal van de rode normen, voor zover zij betrekking hebben op het aspect vertrouwelijkheid, hierin kan voorzien. 1.8 Leeswijzer De tactische eisen in de volgende hoofdstukken van dit normenkader zijn opgedeeld in twee categorieën. Hoofdstuk 2 beschrijft de eisen aan de beveiliging van ICT-voorzieningen. Deze zijn gegroepeerd naar de volgende gebieden: 12 van 63

13 continuïteitsvoorzieningen; controle op informatieverwerking; scheiding: logische afscherming; scheiding: zonering en grensbescherming; identificatie, authenticatie en access control; vastlegging van gebeurtenissen; controle, alarmering en rapportering; systeemintegriteit. Hoofdstuk 3 beschrijft de eisen aan de beveiliging van de omgeving van ICT-voorzieningen. Deze zijn gegroepeerd naar de volgende gebieden: personeel; fysieke beveiliging en beveiliging van de omgeving; rapportage en beheer van incidenten. Tenslotte bevat dit document een lijst met referenties, een afkortingenlijst en een begrippenlijst. 13 van 63

14 2 Beveiliging van ICT voorzieningen 2.1 Continuïteitsvoorzieningen Definitie Continuïteitsvoorzieningen in ICT-voorzieningen scheppen de voorwaarden op het beoogde tijdstip de juiste informatie beschikbaar te stellen aan het klantproces, conform het overeengekomen niveau. Toelichting en afbakening De in de Code voor Informatiebeveiliging [cvib] beschreven beschikbaarheidmaatregelen gericht op stroomvoorziening, klimaatbeheersing, brandpreventie, waterdetectie e.d. zijn maatregelen behorende bij de fysieke beveiliging en zijn terug te vinden in hoofdstuk Beveiliging omgeving ICT voorzieningen. De hier opgenomen normen hebben direct betrekking op onderdelen van de technische infrastructuur Redundante uitvoering van ICT-voorzieningen Doelstelling van de maatregel Door redundante uitvoering van ICT-voorzieningen dienen single-points-of-failure te worden vermeden, waardoor de kans op uitval wordt verlaagd. Implementatienormen Norm B I V DL SL NL Redundante uitvoering componenten: Componenten noodzakelijk voor de beschikbaarheid van een kritische dienst, zijn redundant uitgevoerd zodat uitval van een component niet leidt tot onbeschikbaarheid van de ICTvoorziening. X x x x Norm B I V DL SL NL Redundante uitvoering verbindingen: Bij gebruik van fysieke verbindingen voor een kritische dienst worden deze redundant uitgevoerd. X x x Norm B I V DL SL NL Geen Single Point of Failure (SPoF) bij redundantie: De plaatsing van ICT-apparatuur is zodanig dat dubbel uitgevoerde componenten niet op één fysieke plaats zijn samengebracht. Ook de software/applicaties/dienst mogen geen SPoF zijn en moeten een fail-over mogelijkheid hebben. X x x 14 van 63

15 2.1.2 Herstelbaarheid van verwerking Doelstelling van de maatregel Verwerkingen dienen herstelbaar te zijn zodat bij het optreden van fouten en/of wegraken van informatie dit hersteld kan worden door het opnieuw verwerken van de informatie. Implementatienormen Norm B I V DL SL NL Locatie-onafhankelijkheid: De bediening van ICTvoorzieningen is niet gebonden aan één fysieke locatie. X x x x Norm B I V DL SL NL Automatische opvang van uitval: Datacommunicatievoorzieningen beschikken over automatisch werkende mechanismen om uitval van fysieke verbindingen op te vangen. X x x Norm B I V DL SL NL Procedures voor data-recovery: Er zijn (geteste!) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen. X x 15 van 63

16 2.1.3 Bewaking en alarmering Doelstelling van de maatregel ICT-voorzieningen moeten anticiperen op dreigende discontinuïteit van die voorzieningen. Implementatienormen Norm B I V DL SL NL Bewaken beschikbaarheid componenten: Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component meten) X x x x Norm B I V DL SL NL Voorkomen onevenredig gebruik: Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke middelen, zodat een enkele gebruiker of systeem niet een overmatig deel van deze middelen kan opeisen en daarmee de beschikbaarheid van systemen voor andere systemen of gebruikers in gevaar kan brengen. X x x x 16 van 63

17 2.2 Controle op informatieverwerking Definitie Controle en sturing op informatieverwerking wordt in de [noraibict] aangeduid met Application Controls. Application Controls betreffen de geprogrammeerde maatregelen, die onderdeel uitmaken van de informatiesystemen voor bedrijfsdoelstellingen. Toelichting en afbakening De application controls voeren primair geautomatiseerde controles en maatregelen uit, maar kunnen er ook op gericht zijn informatie te leveren voor het kunnen uitvoeren van handmatige controles door gebruikers of beheerders Functiescheidingen Doelstelling van de maatregel Niemand in een organisatie of proces mag op uitvoerend niveau in staat worden gesteld om een gehele cyclus van handelingen te beheersen in verband met het risico dat hij/zij zichzelf of anderen onrechtmatig bevoordeelt dan wel de organisatie schade berokkent. Dit geldt voor zowel informatieverwerking als beheeracties. Implementatienormen Norm B I V DL SL NL Functiescheidingen: informatiesysteemfuncties voor opslag, registratie, uitvoer, controle en besluiten zijn gescheiden. X x x x Norm B I V DL SL NL Aparte functies bij massale invoer: Bij processen waar massale data-invoer voorkomt zijn er aparte informatiesysteemfuncties voor: - eerste invoer - eventuele controle-invoer - aanbrengen van correcties naar aanleiding van uitgevoerde applicatiecontroles of signaleringen X x x Norm B I V DL SL NL Aparte taak voor goedkeuren: Er is een aparte informatiesysteemfunctie voor het accepteren van gegevens voordat deze gegevens verder verwerkt worden. Dit is van toepassing op gegevens met een potentieel hoge impact op de integriteit. IB principe: Functiescheiding. X x x x 17 van 63

18 Norm B I V DL SL NL Goedkeuring door een tweede persoon: Er is een aparte informatiesysteemfunctie voor het accepteren van gegevens door een tweede rol voordat deze verder verwerkt worden. Dit is van toepassing op gegevens met een potentieel hoge impact op de integriteit. IB principe: Vier ogen principe. X x x x Norm B I V DL SL NL Scheiding tussen beheer en gebruik: Er is een scheiding tussen (informatie)systeem-beheertaken en overige gebruikstaken. X x Het in opdracht van de informatiesysteemeigenaar muteren van rekenregels en variabelen zijn als beheertaken te zien. Norm B I V DL SL NL Rechten op basis van rollen: Rechten worden gekoppeld aan gebruikers op basis van rollen, niet aan personen. Alleen die rechten worden aan een rol toegekend, die voor deze rol nodig zijn. Dit wordt bepaald door de verantwoordelijke voor een component. X X x x x Norm B I V DL SL NL Eenduidige mutatieverantwoordelijkheden: Verantwoordelijkheden voor gegevens moeten eenduidig toe te wijzen zijn aan één specifieke rol. Gegevens en bijbehorende informatiesysteemfuncties moeten daarom toe te wijzen zijn aan een eenduidige rol. X x x x Norm B I V DL SL NL Mutaties altijd vanuit één verantwoordelijke rol in één gegevensverzameling: Indien dezelfde gegevens in meerdere gegevensverzamelingen voorkomen, worden mutaties altijd vanuit één verantwoordelijk rol in één gegevensverzameling gemuteerd. Indien deze mutaties automatisch worden overgebracht (gekopieerd) naar de andere gegevensverzameling moet dit duidelijk zichtbaar zijn in een audittrail. X x x 18 van 63

19 2.2.2 Invoercontroles Doelstelling van de maatregel Alle ingevoerde gegevens moeten op juistheid, tijdigheid en volledigheid worden gecontroleerd voordat verdere verwerking plaatsvindt. Implementatienormen Norm B I V DL SL NL Onderscheid in invoeren, wijzigen en verwijderen: Om invoercontroles mogelijk te maken zijn er verschillende informatiesysteemfuncties voor: -invoeren -wijzigen en -verwijderen X x x Bij invoeren mag de data niet reeds voorkomen, bij wijzigen en verwijderen moet deze reeds bestaan. (Code a) Norm B I V DL SL NL Validatie en bestaanbaarheid: De ingevoerde gegevens vormen een complete en consistente gegevensset in de context van de applicatie. De toegestane waarden van de ingevoerde gegevens worden op juistheid gecontroleerd om de volgende fouten te ontdekken (Code a) X x 1. waarden die buiten het geldige bereik vallen; 2. ongeldige tekens in invoervelden; 3. ontbrekende of onvolledige gegevens; 4. overschrijding van boven- en ondergrenzen voor gegevensvolumes; 5. ongeautoriseerde of inconsistente gegevens. Verwerken van deze vormen van foutieve invoer door informatiesysteemfuncties is niet mogelijk, ook niet door expliciete acceptatie door de verantwoordelijke rol. Deze norm geld voor zowel handmatige als geautomatiseerde invoer (batch invoer). Norm B I V DL SL NL Fouten in invoer vanuit batch: Wanneer één of meerdere invoerregels uit een batchbestand niet te verwerken zijn, worden dit teruggekoppeld aan de opsteller van het batchbestand. X x 19 van 63

20 Norm B I V DL SL NL Signaleren mogelijk foutieve invoer: Afwijkende invoer op grond van relatie- en redelijkheidscontrole die kan wijzen op foutieve invoer, wordt aan de gebruiker gesignaleerd en de gebruiker wordt de mogelijkheid geboden om in te grijpen voordat de invoer in de applicatie wordt verwerkt. X x Norm B I V DL SL NL Terugmelden omschrijving: Indien van toepassing wordt bij ingevoerde codes of sleutelgegevens de daarbij behorende omschrijving teruggemeld ter visuele controle met het invoerdocument. X x Norm B I V DL SL NL Geen default waarden: Default waarden zijn niet toegestaan bij kritische gegevenselementen, hieraan is een verplichte veldinvulling gekoppeld. De kritische gegevenselementen worden door middel van een risicoanalyse bepaald. X x Norm B I V DL SL NL Juistheid massale invoer: De juistheid van massale handmatige invoer wordt ondersteund door een aparte informatiesysteemfunctie voor controletoetsen (dubbele invoer). Controletoetsen kunnen zich beperken tot kritische gegevens. X x Norm B I V DL SL NL Signaleren dubbele invoer: Door het opnemen van volgnummers in records of berichten kan dubbele invoer worden gesignaleerd. Deze methode is echter niet voor alle toepassingen geschikt. Toepassing is mede afhankelijk van de mogelijkheden van de verwerkingscontroles dan wel de ernst van gevolgen van dubbele verwerking. X x Norm B I V DL SL NL Tegengaan applicatieve spam: De applicatieve controles moeten het onmogelijk maken de invoer te vervuilen door het inzenden van nep-berichten, die wel aan alle formele vormvereisten voldoen. Bij signalering dient er een signaal te worden afgegeven naar de operationeel beheerders. X X x x 20 van 63