Normenkader Informatiebeveiliging

Alle Aangeslotenen van Zorgeloos Vastgoed dienen in het bezit te zijn van een geldige ISO 27001-certificering. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het Zorgeloos Vastgoed stelsel gebonden zijn aan de normen vanuit ISO 27001. Zorgeloos Vastgoed stelt de volgende eisen aan Aangeslotenen:

Aangeslotenen moeten de Dienstverleners als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in het Juridisch Kader);
Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;

In aanvulling op de ISO 27001-certificering gelden voor Aangeslotenen een aantal stelselspecifieke eisen met betrekking tot implementatie. Indien de toepassing van een ISO 27001-norm voor Zorgeloos Vastgoed afwijkt van de beschrijving vanuit ISO 27001, wordt die nader toegelicht in dit Normenkader Informatiebeveiliging. Het normenkader specificeert daartoe per norm wat de reden, implementatiewijze, beoordelingsmethode en de van toepassing zijnde stelselrollen zijn.

De Aangeslotene toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het Normenkader Informatiebeveiliging van Zorgeloos Vastgoed. Voor de onderbouwende rapportage bij de auditverklaring wordt door Zorgeloos Vastgoed een format beschikbaar gesteld.
Indien uit de aanvullende auditverklaring blijkt dat de Aangeslotene niet (meer) voldoet, dan beoordeelt Zorgeloos Vastgoed op basis van de onderbouwende rapportage of, en op welke manier het Nalevingsbeleid moet worden toegepast.

De ISO 27001-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die ISO 27001-geaccrediteerd is.

Normenkader

Beheersmaatregel	SLD	SLC	BH	BO	Implementatie

Beheersmaatregel	SLD	SLC	BH	BO	Implementatie
A.5.1.1 Beleidsregels voor informatiebeveiliging					De beleidsdocumenten moeten de beleidsmaatregelen die van toepassing zijn op Zorgeloos Vastgoed (onder andere gespecificeerd in Informatiebeveiligingsbeleid en aanverwante pagina's) expliciet toepassen.
A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging					De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn bij alle betrokken partijen. Deze functionaris(sen) dient/dienen de bevoegdheid te hebben om bij (een dreiging van) een incident daadkrachtig te kunnen optreden en besluiten te nemen ten aanzien van Zorgeloos Vastgoed. Zij dienen deze besluiten met spoed te kunnen (laten) realiseren. De verantwoordelijke en operationele functionaris(sen), inclusief eventuele onderaannemers, dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur.
A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging					De verantwoordelijke functionaris(sen) zoals benoemd in A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging moeten(en) deelgenomen hebben aan de training over de algemene werking en afspraken rondom informatiebeveiliging van het afsprakenstelsel en deze informatie door kunnen leggen binnen de eigen organisatie.
A.8.2.1 Classificatie van informatie					Alle gegevens die binnen of ten behoeve van Zorgeloos Vastgoed worden verwerkt, worden geclassificeerd als persoonsgegevens, en dienen overeenkomstig te worden behandeld.
A.9.1.1 Beleid voor toegangsbeveiliging					Technische en organisatorische maatregelen zijn genomen om inzage van persoonlijke gegevens door medewerkers te voorkomen. De Aangeslotene dient minimaal ieder halfjaar en na grote wijzigingen vast te stellen dat deze maatregelen nog effectief zijn.
A.9.2.5 Beoordeling van toegangsrechten van gebruikers					Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden verwerkt, worden ten minste maandelijks gecontroleerd, ook door eventuele onderaannemers. Functiescheiding is hierbij gewaarborgd en tijdens de controle wordt expliciet aandacht geschonken aan medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
A.9.4.1 Beperking toegang tot informatie					Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie Forum Standaardisatie en Logius). De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen					Alle gegevens die worden uitgewisseld binnen het afsprakenstelsel worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection', zie https://www.keylength.com/.
A.12.1.2 (1) Wijzigingsbeheer					De IT-beheerprocessen sluiten aan op het Zorgeloos Vastgoed Change- en releasebeleid.
A.12.1.2 (2) Wijzigingsbeheer					Niet-standaard wijzigingen op de IT-componenten die gebruikt worden, worden op basis van het vier-ogen-principe uitgevoerd.
A.12.1.2 (3) Wijzigingsbeheer					Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op informatiebeveiliging, moet de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze IT-componenten opnieuw uitgevoerd worden.
A.12.1.3 Capaciteitsbeheer					Maatregelen zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in de Aansluitovereenkomsten.
A.12.1.4 OTAP(I)					Naast een OTAP wordt tevens een ketenintegratie-omgeving aangeboden en onderhouden, als variant van de acceptatie-omgevingen waarbij de nadruk ligt op de ketenintegratie. Deze omgeving is gescheiden van de reeds in de ISO-norm 12.1.4 benoemde OTAP-omgevingen.
A.12.2.1 Bescherming tegen Malware					Beheersmaatregelen moeten worden geïmplementeerd om applicaties te kunnen beschermen tegen malware.
A.12.3.1 Back-up van informatie					Back-upplannen en restore-tests zijn opgesteld aansluitend op de Classificatie Beschikbaarheid van de gegevens.
A.12.4.1 Gebeurtenissen registreren					Logging moet plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Consentmanagement). Daarnaast moeten de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: Acties waarbij een consument via de Softwareleverancier Consument bij de Softwareleverancier Dienstverlener gegevens wil opvragen. Acties waarbij een consument toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de Softwareleverancier Dienstverlener).
A.12.4.3 Logbestanden van beheerders en operators					Logging van het gebruik van toegangsrechten op IT-componenten waar gegevens worden verwerkt; Controle van deze logging met een minimale frequentie van eens per maand (geldt ook voor onderaannemers); Toepassing van functiescheiding in de uitvoering van deze controle; Controle op (tijdens controle aandacht voor) onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
A.12.4.4 Kloksynchronisatie					De klokken van IT-componenten die communiceren via het afsprakenstelsel en logging in het kader van Zorgeloos Vastgoed bijhouden, moeten worden gesynchroniseerd met pool.ntp.org. Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met pool.ntp.org niet groter dan plus of min 500 ms te laten zijn.
A.12.6.1 Beheer van technische kwetsbaarheden					De processen moeten aansluiten op de Beveiligingsbeheerprocessen in het afsprakenstelsel Zorgeloos Vastgoed ten aanzien van het beheer van technische kwetsbaarheden. Deze dienen ten minste te omvatten: Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden inclusief terugkoppeling naar de beheerorganisatie hieromtrent; Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid; Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.
A.14.2.1 Beleid voor beveiligd ontwikkelen					Bij het vaststellen voor het beleid voor beveiligd ontwikkelen moeten de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ). Voor mobiele applicaties moeten de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/beveiligingsrichtlijnen-voor-mobiele-apparaten ).
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten					Organisaties moeten relevante beheersmaatregelen vanuit het afsprakenstelsel Zorgeloos Vastgoed contractueel beleggen bij hun leveranciers.
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers					Aangeslotenen zien toe op een correcte naleving van de relevante beheersmaatregelen zoals binnen vanuit het afsprakenstelsel Zorgeloos Vastgoed opgesteld en bij de betreffende Aangeslotene belegd.
A.16.1.1 Verantwoordelijkheden en procedures					De processen en procedures voor het behandelen van incidenten en calamiteiten sluiten aan op de Beveiligingsbeheerprocessen van Zorgeloos Vastgoed.
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging					Kwetsbaarheden en incidenten die betrekking hebben op gegevens of het functioneren van het afsprakenstelsel Zorgeloos Vastgoed moeten binnen 48 uur gemeld te worden bij het centrale aanspreekpunt binnen Zorgeloos Vastgoed zoals beschreven in het Incident- en calamiteitenproces. Zie Aansluitovereenkomsten. Softwareleveranciers Dienstverlener maken hierover zo nodig afspraken met de aangesloten Dienstverleners.
A.18.2.3 Beoordeling van technische naleving					Tenminste jaarlijks moeten whitebox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie. Voor toetreding heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risicobevindingen op externe Zorgeloos Vastgoed koppelvlakken zijn opgelost. Voor penetratietesten die worden uitgevoerd na toetreding dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risicobevindingen ten aanzien van de Zorgeloos Vastgoed-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie van Zorgeloos Vastgoed. De corrigerende maatregelen worden tijdig doorgevoerd.
SSD-1 Hardening					Applicaties hanteren hardeningsprincipes door alleen gebruik te maken van vereiste services, netwerkpoorten en protocollen.
SSD-3 Veilige externe componenten					Applicaties maken gebruik van veilige en actief onderhouden externe componenten (zowel statische als mobile code).
SSD-12B Sessiebeëindiging					Applicaties beëindigen actieve sessies na een vooringestelde periode van inactiviteit van de gebruiker via automatische sessiebeëindiging.
SSD-13 Onweerlegbaarheid van transacties					Applicaties borgen dat aangewezen transacties onweerlegbaar aan een persoon zijn gekoppeld.
SSD-14 Sessie-authenticiteit					Applicaties hanteren sessie-identifiers die willekeurig en onvoorspelbaar zijn.
SSD-15 Scheiding van presentatie, applicatie en gegevens					De architectuur van applicaties biedt afdoende afscherming voor onbevoegde toegang door onderliggende systemen van elkaar te scheiden.
SSD-17 Gescheiden beheerinterface					Beheeractiviteiten vinden plaats via een van de standaard gebruikersinterface gescheiden beheerinterface.
SSD-19 Invoernormalisatie					Applicaties voorkomen manipulatie door alle ontvangen invoer (gebruikers, externe systemen en applicaties) te normaliseren alvorens die te valideren.
SSD-20 Uitvoerschoning					Applicaties beperken de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren naar de juiste context.
SSD-21 Beperken van commando- en querytoegang					Applicaties leggen beperkingen aan queries en commando's (principe van least-privileged) op daar waar met achterliggende systemen wordt gecommuniceerd en deze communicatie wordt alleen ingericht indien strikt noodzakelijk.
SSD-22 Invoervalidatie					Applicaties controleren invoer (bijvoorbeeld een HTTP-request) door deze te valideren alvorens die te gebruiken.
SSD-23 Beperkte file-includes					Applicaties voorkomen de mogelijkheid van dynamische file includes.
SSD-24 Beperking van te versturen HTTP-headers					Webservers sturen bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers mee die van belang is voor het functioneren van HTTP.
SSD-26 Beperkte HTTP-methoden					Webservers voorkomen gebruik van niet-noodzakelijke methoden die tot misbruik kunnen leiden.
SSD-27 Discrete foutmeldingen					Applicaties nemen in een foutmelding geen inhoudelijke foutinformatie op die misbruikt kan worden.
SSD-28 Discreet commentaar					Commentaar bevat zo min mogelijk technische informatie om aanvallers minimaal te informeren.
SSD-29 Voorkoming van directory listing					Webapplicaties tonen geen inhoud van directories in het systeem.
SSD-32 Bescherming tegen externe entiteitinjectie in XML					Applicaties beperken de mogelijkheid tot manipulatie door alle externe XML-invoer te beschermen tegen entiteitinjectie.
SSD-33 Veilige HTTP-response headers					Applicaties beperken kwetsbaarheden in HTTP-verkeer om aanvallen te voorkomen.

SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie