Normenkader Informatiebeveiliging

Alle Aangeslotenen van Zorgeloos Vastgoed dienen in het bezit te zijn van een geldige ISO 27001-certificering. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het Zorgeloos Vastgoed stelsel gebonden zijn aan de normen vanuit ISO 27001. Zorgeloos Vastgoed stelt de volgende eisen aan Aangeslotenen:

Aangeslotenen moeten de Dienstverleners als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in het Juridisch Kader);
Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;

In aanvulling op de ISO 27001-certificering gelden voor Aangeslotenen een aantal stelselspecifieke eisen met betrekking tot implementatie. Indien de toepassing van een ISO 27001-norm voor Zorgeloos Vastgoed afwijkt van de beschrijving vanuit ISO 27001, wordt die nader toegelicht in dit Normenkader Informatiebeveiliging. Het normenkader specificeert daartoe per norm wat de reden, implementatiewijze, beoordelingsmethode en de van toepassing zijnde stelselrollen zijn.

De Aangeslotene toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het Normenkader Informatiebeveiliging van Zorgeloos Vastgoed. Voor de onderbouwende rapportage bij de auditverklaring wordt door Zorgeloos Vastgoed een format beschikbaar gesteld.
Indien uit de aanvullende auditverklaring blijkt dat de Aangeslotene niet (meer) voldoet, dan beoordeelt Zorgeloos Vastgoed op basis van de onderbouwende rapportage of, en op welke manier het Nalevingsbeleid moet worden toegepast.

De ISO 27001-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die ISO 27001-geaccrediteerd is.

Normenkader

Beheersmaatregel	SLD	SLC	BH	BO	Implementatie
A.5.1.1 Beleidsregels voor informatiebeveiliging	✅	✅	✅	✅	De beleidsdocumenten moeten de beleidsmaatregelen die van toepassing zijn op Zorgeloos Vastgoed (onder andere gespecificeerd in Informatiebeveiligingsbeleid) specifiek benoemen.
A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging	✅	✅	✅	✅	De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van Zorgeloos Vastgoed en deze besluiten met spoed te kunnen (laten) realiseren. De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur.
A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging	✅	✅	✅	✅	De verantwoordelijke functionaris(sen) zoals benoemd in A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging moeten(en) deelgenomen hebben aan een training over de algemene werking van het stelsel.
A.8.2.1 Classificatie van informatie	✅	✅	✅	✅	Alle gegevens die binnen of ten behoeve van Zorgeloos Vastgoed worden verwerkt, worden geclassificeerd als persoonsgegevens, en dienen overeenkomstig te worden behandeld.
A.9.1.1 Beleid voor toegangsbeveiliging	✅	✅		✅	Er moeten technische en organisatorische maatregelen worden genomen om inzage van persoonlijke gegevens door medewerkers te voorkomen. De organisatie dient minimaal elk halfjaar en na grote wijzigingen een self-assessment uit te voeren om vast te stellen dat deze maatregelen nog effectief zijn.
A.9.2.5 Beoordeling van toegangsrechten van gebruikers	✅	✅	✅	✅	Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden worden verwerkt moeten ten minste maandelijks worden gecontroleerd. Hierbij moet functiescheiding gewaarborgd zijn. Dit geldt ook voor eventuele onderaannemers. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
A.9.4.1 Beperking toegang tot informatie	✅	✅			Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie link en link). De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen	✅	✅			Opgeslagen persoonlijke gegevens moeten beschermd worden door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near term protection' en 'long-term protection', zie https://www.keylength.com/ .
A.12.1.2 (1) Wijzigingsbeheer	✅	✅	✅	✅	De IT-beheerprocessen moeten aansluiten op het Zorgeloos Vastgoed Change- en releasebeleid.
A.12.1.2 (2) Wijzigingsbeheer	✅	✅	✅	✅	Niet-standaard wijzigingen op de IT componenten die gebruikt worden binnen de scope van Zorgeloos Vastgoed moeten op basis van het vier-ogen-principe worden uitgevoerd.
A.12.1.2 (3) Wijzigingsbeheer	✅	✅	✅	✅	Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op de informatiebeveiliging, moet de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze componenten opnieuw uitgevoerd worden.
A.12.1.3 Capaciteitsbeheer	✅	✅			Maatregelen moeten zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in de Aansluitovereenkomsten.
A.12.1.4 OTAP(I)	✅	✅	✅	✅	Naast een OTAP wordt tevens een ketenintegratie-omgeving aangeboden en onderhouden, als variant van de acceptatie-omgevingen waarbij de nadruk ligt op de ketenintegratie. Deze omgeving is gescheiden van de reeds in de ISO-norm 12.1.4 benoemde OTAP-omgevingen.
A.12.2.1 Bescherming tegen Malware	✅	✅	✅	✅	Beheersmaatregelen moeten worden geïmplementeerd om applicaties te kunnen beschermen tegen malware.
A.12.3.1 Back-up van informatie	✅	✅	✅		Backup-plannen en restore-tests zijn opgesteld aansluitend op de Classificatie Beschikbaarheid van de gegevens.
A.12.4.1 Gebeurtenissen registreren	✅	✅	✅	✅	Logging moet plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Consentmanagement). Daarnaast moeten de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: De actie waarbij de consument via de Softwareleverancier Consument bij de Softwareleverancier Dienstverlener gegevens wil opvragen. De acties waarbij de consument toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de Softwareleverancier Dienstverlener).
A.12.4.3 Logbestanden van beheerders en operators	✅	✅			Het gebruik van toegangsrechten op IT-componenten waar gegevens worden verwerkt moet worden gelogd; Deze logging moet ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers; Hierbij moet functiescheiding gewaarborgd zijn; Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
A.12.4.4 Kloksynchronisatie	✅	✅	✅	✅	De klokken van IT-componenten die communiceren via het afsprakenstelsel en logging in het kader van Zorgeloos Vastgoed bijhouden, moeten worden gesynchroniseerd met pool.ntp.org. Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met pool.ntp.org niet groter dan plus of min 500 ms te laten zijn.
A.12.6.1 Beheer van technische kwetsbaarheden	✅	✅	✅	✅	De processen moeten aansluiten op de Beveiligingsbeheerprocessen in het afsprakenstelsel ten aanzien van het beheer van technische kwetsbaarheden. Deze dienen ten minste te omvatten: Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden inclusief terugkoppeling naar de beheerorganisatie hieromtrent; Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid; Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.
A.14.2.1 Beleid voor beveiligd ontwikkelen	✅	✅		✅	Bij het vaststellen voor het beleid voor beveiligd ontwikkelen moeten de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ). Voor mobiele applicaties moeten de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/beveiligingsrichtlijnen-voor-mobiele-apparaten ).
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten	✅	✅		✅	Organisaties moeten relevante beheersmaatregelen vanuit het afsprakenstelsel contractueel beleggen bij hun leveranciers.
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers	✅	✅		✅	Organisaties moeten toezien op correcte naleving van de relevante beheersmaatregelen vanuit het afsprakenstelsel die bij een leverancier belegd zijn.
A.16.1.1 Verantwoordelijkheden en procedures	✅	✅		✅	De processen voor het behandelen van incidenten en calamiteiten moeten aansluiten op de Beveiligingsbeheerprocessen in het afsprakenstelsel.
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging	✅	✅	✅	✅	Kwetsbaarheden en incidenten die betrekking hebben op gegevens of het functioneren van het afsprakenstelsel moeten binnen 48 uur gemeld te worden bij het centrale incident management team. Zie Aansluitovereenkomsten. Softwareleveranciers Dienstverlener maken hierover zonodig afspraken met de aangesloten Dienstverleners.
A.18.2.3 Beoordeling van technische naleving	✅	✅		✅	Tenminste jaarlijks moet een whitebox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie. Voor toetreding heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risicobevindingen op externe Zorgeloos Vastgoed koppelvlakken zijn opgelost. Voor penetratietesten die worden uitgevoerd na toetreding dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risicobevindingen ten aanzien van de Zorgeloos Vastgoed-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd.
SSD-1 Hardening	✅	✅	✅	✅	Applicaties hanteren hardeningsprincipes door alleen gebruik te maken van vereiste services, netwerkpoorten en protocollen.
SSD-3 Veilige externe componenten	✅	✅	✅	✅	Applicaties maken gebruik van veilige en actief onderhouden externe componenten (zowel statische als mobile code).
SSD-12B Sessiebeëindiging	✅	✅			Applicaties beëindigen actieve sessies na een vooringestelde periode van inactiviteit van de gebruiker via automatische sessiebeëindiging.
SSD-13 Onweerlegbaarheid van transacties	✅	✅	✅	✅	Applicaties borgen dat aangewezen transacties onweerlegbaar aan een persoon zijn gekoppeld.
SSD-14 Sessie-authenticiteit	✅	✅			Applicaties hanteren sessie-identifiërs die willekeurig en onvoorspelbaar zijn.
SSD-15 Scheiding van presentatie, applicatie en gegevens	✅	✅	✅	✅	De architectuur van applicaties biedt afdoende afscherming voor onbevoegde toegang door onderliggende systemen van elkaar te scheiden.
SSD-17 Gescheiden beheerinterface	✅	✅	✅	✅	Beheeractiviteiten vinden plaats via een van de standaard gebruikersinterface gescheiden beheerinterface.
SSD-19 Invoernormalisatie	✅	✅		✅	Applicaties voorkomen manipulatie door alle ontvangen invoer (gebruikers, externe systemen en applicaties) te normaliseren alvorens die te valideren.
SSD-20 Uitvoerschoning	✅	✅	✅	✅	Applicaties beperken de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren naar de juiste context.
SSD-21 Beperken van commando- en querytoegang	✅	✅			Applicaties leggen beperkingen aan queries en commando's (principe van least-priviliged) op daar waar met achterliggende systemen wordt gecommuniceerd en deze communicatie wordt alleen ingericht indien strikt noodzakelijk.
SSD-22 Invoervalidatie	✅	✅		✅	Applicaties controleren invoer (bijvoorbeeld een HTTP-request) door deze te valideren alvorens die te gebruiken.
SSD-23 Beperkte file-includes	✅	✅	✅	✅	Applicaties voorkomen de mogelijkheid van dynamische file includes.
SSD-24 Beperking van te versturen HTTP-headers	✅	✅	✅	✅	Webservers sturen bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers mee die van belang is voor het functioneren van HTTP.
SSD-26 Beperkte HTTP-methoden	✅	✅	✅	✅	Webservers voorkomen gebruik van niet-noodzakelijke methoden die tot misbruik kunnen leiden.
SSD-27 Discrete foutmeldingen	✅	✅		✅	Applicaties nemen in een foutmelding geen inhoudelijke foutinformatie op die misbruikt kan worden.
SSD-28 Discreet commentaar	✅	✅	✅	✅	Commentaar bevat zo min mogelijk technische informatie om aanvallers minimaal te informeren.
SSD-29 Voorkoming van directory listing	✅	✅	✅	✅	Webapplicaties tonen geen inhoud van directories in het systeem.
SSD-32 Bescherming tegen XML externe entiteit injectie	✅	✅		✅	Applicaties beperken de mogelijkheid tot manipulatie door alle externe XML invoer te beschermen tegen entiteit injectie.
SSD-33 Veilige HTTP-response headers	✅	✅	✅	✅	Applicaties beperken kwetsbaarheden in HTTP-verkeer om aanvallen te voorkomen.

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie