Normenkader Informatiebeveiliging
Alle Aangeslotenen van Zorgeloos Vastgoed dienen in het bezit te zijn van een geldige ISO 27001-certificering. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het Zorgeloos Vastgoed stelsel gebonden zijn aan de normen vanuit ISO 27001. Zorgeloos Vastgoed stelt de volgende eisen aan Aangeslotenen:
Aangeslotenen moeten de Dienstverleners als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in het Juridisch Kader);
Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;
In aanvulling op de ISO 27001-certificering gelden voor Aangeslotenen een aantal stelselspecifieke eisen met betrekking tot implementatie. Indien de toepassing van een ISO 27001-norm voor Zorgeloos Vastgoed afwijkt van de beschrijving vanuit ISO 27001, wordt die nader toegelicht in dit Normenkader Informatiebeveiliging. Het normenkader specificeert daartoe per norm wat de reden, implementatiewijze, beoordelingsmethode en de van toepassing zijnde stelselrollen zijn.
De Aangeslotene toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het Normenkader Informatiebeveiliging van Zorgeloos Vastgoed. Voor de onderbouwende rapportage bij de auditverklaring wordt door Zorgeloos Vastgoed een format beschikbaar gesteld.
Indien uit de aanvullende auditverklaring blijkt dat de Aangeslotene niet (meer) voldoet, dan beoordeelt Zorgeloos Vastgoed op basis van de onderbouwende rapportage of, en op welke manier het Nalevingsbeleid moet worden toegepast.
De ISO 27001-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die ISO 27001-geaccrediteerd is.
Normenkader
Beheersmaatregel | SLD | SLC | BH | BO | Implementatie |
---|---|---|---|---|---|
De beleidsdocumenten moeten de beleidsmaatregelen die van toepassing zijn op Zorgeloos Vastgoed (onder andere gespecificeerd in Informatiebeveiligingsbeleid en aanverwante pagina's) expliciet toepassen. | |||||
A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging | | De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn bij alle betrokken partijen. Deze functionaris(sen) dient/dienen de bevoegdheid te hebben om bij (een dreiging van) een incident daadkrachtig te kunnen optreden en besluiten te nemen ten aanzien van Zorgeloos Vastgoed. Zij dienen deze besluiten met spoed te kunnen (laten) realiseren. De verantwoordelijke en operationele functionaris(sen), inclusief eventuele onderaannemers, dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. | |||
A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging | | | | | De verantwoordelijke functionaris(sen) zoals benoemd in A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging moeten(en) deelgenomen hebben aan de training over de algemene werking en afspraken rondom informatiebeveiliging van het afsprakenstelsel en deze informatie door kunnen leggen binnen de eigen organisatie. |
| | | | Alle gegevens die binnen of ten behoeve van Zorgeloos Vastgoed worden verwerkt, worden geclassificeerd als persoonsgegevens, en dienen overeenkomstig te worden behandeld. | |
| |
| | Technische en organisatorische maatregelen zijn genomen om inzage van persoonlijke gegevens door medewerkers te voorkomen. De Aangeslotene dient minimaal ieder halfjaar en na grote wijzigingen vast te stellen dat deze maatregelen nog effectief zijn. | |
| | | | Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden verwerkt, worden ten minste maandelijks gecontroleerd, ook door eventuele onderaannemers. Functiescheiding is hierbij gewaarborgd en tijdens de controle wordt expliciet aandacht geschonken aan medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging). | |
| |
|
| Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie Forum Standaardisatie en Logius). De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is. | |
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen | | |
|
| Alle gegevens die worden uitgewisseld binnen het afsprakenstelsel worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection', zie https://www.keylength.com/. |
| | | | De IT-beheerprocessen sluiten aan op het Zorgeloos Vastgoed Change- en releasebeleid. | |
| | | | Niet-standaard wijzigingen op de IT-componenten die gebruikt worden, worden op basis van het vier-ogen-principe uitgevoerd. | |
| | | | Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op informatiebeveiliging, moet de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze IT-componenten opnieuw uitgevoerd worden. | |
| |
|
| Maatregelen zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in de Aansluitovereenkomsten. | |
| | | | Naast een OTAP wordt tevens een ketenintegratie-omgeving aangeboden en onderhouden, als variant van de acceptatie-omgevingen waarbij de nadruk ligt op de ketenintegratie. Deze omgeving is gescheiden van de reeds in de ISO-norm 12.1.4 benoemde OTAP-omgevingen. | |
| | | | Beheersmaatregelen moeten worden geïmplementeerd om applicaties te kunnen beschermen tegen malware. | |
| | |
| Back-upplannen en restore-tests zijn opgesteld aansluitend op de Classificatie Beschikbaarheid van de gegevens. | |
| | | | Logging moet plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Consentmanagement). Daarnaast moeten de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd:
| |
| |
|
|
| |
| | | | De klokken van IT-componenten die communiceren via het afsprakenstelsel en logging in het kader van Zorgeloos Vastgoed bijhouden, moeten worden gesynchroniseerd met pool.ntp.org. Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met pool.ntp.org niet groter dan plus of min 500 ms te laten zijn. | |
| | | | De processen moeten aansluiten op de Beveiligingsbeheerprocessen in het afsprakenstelsel Zorgeloos Vastgoed ten aanzien van het beheer van technische kwetsbaarheden. Deze dienen ten minste te omvatten:
| |
| |
| | Bij het vaststellen voor het beleid voor beveiligd ontwikkelen moeten de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (ICT-beveiligingsrichtlijnen voor webapplicaties ). Voor mobiele applicaties moeten de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (Beveiligingsrichtlijnen voor mobiele apparaten ). | |
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | | |
| | Organisaties moeten relevante beheersmaatregelen vanuit het afsprakenstelsel Zorgeloos Vastgoed contractueel beleggen bij hun leveranciers. |
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers | | |
| | Aangeslotenen zien toe op een correcte naleving van de relevante beheersmaatregelen zoals binnen vanuit het afsprakenstelsel Zorgeloos Vastgoed opgesteld en bij de betreffende Aangeslotene belegd. |
| |
| | De processen en procedures voor het behandelen van incidenten en calamiteiten sluiten aan op de Beveiligingsbeheerprocessen van Zorgeloos Vastgoed. | |
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging | | | | | Kwetsbaarheden en incidenten die betrekking hebben op gegevens of het functioneren van het afsprakenstelsel Zorgeloos Vastgoed moeten binnen 48 uur gemeld te worden bij het centrale aanspreekpunt binnen Zorgeloos Vastgoed zoals beschreven in het Incident- en calamiteitenproces. Zie Aansluitovereenkomsten. Softwareleveranciers Dienstverlener maken hierover zo nodig afspraken met de aangesloten Dienstverleners. |
| |
| | Tenminste jaarlijks moeten whitebox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie. Voor toetreding heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risicobevindingen op externe Zorgeloos Vastgoed koppelvlakken zijn opgelost. Voor penetratietesten die worden uitgevoerd na toetreding dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risicobevindingen ten aanzien van de Zorgeloos Vastgoed-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie van Zorgeloos Vastgoed. De corrigerende maatregelen worden tijdig doorgevoerd. | |
| | | | Applicaties hanteren hardeningsprincipes door alleen gebruik te maken van vereiste services, netwerkpoorten en protocollen. | |
| | | | Applicaties maken gebruik van veilige en actief onderhouden externe componenten (zowel statische als mobile code). | |
| |
|
| Applicaties beëindigen actieve sessies na een vooringestelde periode van inactiviteit van de gebruiker via automatische sessiebeëindiging. | |
| | | | Applicaties borgen dat aangewezen transacties onweerlegbaar aan een persoon zijn gekoppeld. | |
| |
|
| Applicaties hanteren sessie-identifiers die willekeurig en onvoorspelbaar zijn. | |
| | | | De architectuur van applicaties biedt afdoende afscherming voor onbevoegde toegang door onderliggende systemen van elkaar te scheiden. | |
| | | | Beheeractiviteiten vinden plaats via een van de standaard gebruikersinterface gescheiden beheerinterface. | |
| |
| | Applicaties voorkomen manipulatie door alle ontvangen invoer (gebruikers, externe systemen en applicaties) te normaliseren alvorens die te valideren. | |
| | | | Applicaties beperken de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren naar de juiste context. | |
| |
|
| Applicaties leggen beperkingen aan queries en commando's (principe van least-privileged) op daar waar met achterliggende systemen wordt gecommuniceerd en deze communicatie wordt alleen ingericht indien strikt noodzakelijk. | |
| |
| | Applicaties controleren invoer (bijvoorbeeld een HTTP-request) door deze te valideren alvorens die te gebruiken. | |
| | | | Applicaties voorkomen de mogelijkheid van dynamische file includes. | |
| | | | Webservers sturen bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers mee die van belang is voor het functioneren van HTTP. | |
| | | | Webservers voorkomen gebruik van niet-noodzakelijke methoden die tot misbruik kunnen leiden. | |
| |
| | Applicaties nemen in een foutmelding geen inhoudelijke foutinformatie op die misbruikt kan worden. | |
| | | | Commentaar bevat zo min mogelijk technische informatie om aanvallers minimaal te informeren. | |
| | | | Webapplicaties tonen geen inhoud van directories in het systeem. | |
| |
| | Applicaties beperken de mogelijkheid tot manipulatie door alle externe XML-invoer te beschermen tegen entiteitinjectie. | |
| | | | Applicaties beperken kwetsbaarheden in HTTP-verkeer om aanvallen te voorkomen. |
SLD = Softwareleverancier Dienstverlener, SLC = Softwareleverancier Consument, BH = Bronhouder, BO = Beheerorganisatie