SLD/SLC

ISO 27001

Concept/Definitief

A.5.1.1 Beleidsregels voor informatiebeveiliging

De beleidsdocumenten moeten de beleidsmaatregelen die van toepassing zijn op Zorgeloos Vastgoed (onder andere gespecificeerd in Informatiebeveiligingsbeleid en aanverwante pagina's) expliciet toepassen.

A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging

De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn bij alle betrokken partijen. Deze functionaris(sen) dient/dienen de bevoegdheid te hebben om bij (een dreiging van) een incident daadkrachtig te kunnen optreden en besluiten te nemen ten aanzien van Zorgeloos Vastgoed. Zij dienen deze besluiten met spoed te kunnen (laten) realiseren.

De verantwoordelijke en operationele functionaris(sen), inclusief eventuele onderaannemers, dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. 

A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

De verantwoordelijke functionaris(sen) zoals benoemd in A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging moeten(en) deelgenomen hebben aan de training over de algemene werking en afspraken rondom informatiebeveiliging van het afsprakenstelsel en deze informatie door kunnen leggen binnen de eigen organisatie.

A.8.2.1 Classificatie van informatie

Alle gegevens die binnen of ten behoeve van Zorgeloos Vastgoed worden verwerkt, worden geclassificeerd als persoonsgegevens, en dienen overeenkomstig te worden behandeld.

A.9.1.1 Beleid voor toegangsbeveiliging

Technische en organisatorische maatregelen zijn genomen om inzage van persoonlijke gegevens door medewerkers te voorkomen. De Aangeslotene dient minimaal ieder halfjaar en na grote wijzigingen vast te stellen dat deze maatregelen nog effectief zijn.

A.9.2.5 Beoordeling van toegangsrechten van gebruikers

Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden worden verwerkt, worden ten minste maandelijks gecontroleerd, ook door eventuele onderaannemers. Functiescheiding is hierbij gewaarborgd en tijdens de controle wordt expliciet aandacht geschonken aan medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).

A.9.4.1 Beperking toegang tot informatie

Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie Forum Standaardisatie en Logius). 

De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.

A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

Alle gegevens die worden uitgewisseld binnen het afsprakenstelsel worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection', zie https://www.keylength.com/.

A.12.1.2 (1) Wijzigingsbeheer

De IT-beheerprocessen sluiten aan op het Zorgeloos Vastgoed Change- en releasebeleid.

A.12.1.2 (2) Wijzigingsbeheer

Niet-standaard wijzigingen op de IT-componenten die gebruikt worden binnen het ecosysteem Zorgeloos Vastgoed worden op basis van het vier-ogen-principe uitgevoerd.

A.12.1.2 (3) Wijzigingsbeheer

Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op informatiebeveiliging, moet de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze IT-componenten opnieuw uitgevoerd worden.

A.12.1.3 Capaciteitsbeheer

Maatregelen zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in de Aansluitovereenkomsten.

A.12.1.4 OTAP(I)

Naast een OTAP wordt tevens een ketenintegratie-omgeving aangeboden en onderhouden, als variant van de acceptatie-omgevingen waarbij de nadruk ligt op de ketenintegratie. Deze omgeving is gescheiden van de reeds in de ISO-norm 12.1.4 benoemde OTAP-omgevingen.

A.12.2.1 Bescherming tegen Malware

Beheersmaatregelen moeten worden geïmplementeerd om applicaties te kunnen beschermen tegen malware.

A.12.3.1 Back-up van informatie

Back-upplannen en restore-tests zijn opgesteld aansluitend op de Classificatie Beschikbaarheid van de gegevens.

A.12.4.1 Gebeurtenissen registreren

Logging moet plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Consentmanagement).

Daarnaast moeten de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: 

• Acties waarbij een consument via de Softwareleverancier Consument bij de Softwareleverancier Dienstverlener gegevens wil opvragen.

• Acties waarbij een consument toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de Softwareleverancier Dienstverlener).

A.12.4.3 Logbestanden van beheerders en operators

1. Logging van het gebruik van toegangsrechten op IT-componenten waar gegevens worden verwerkt;

2. Controle van deze logging met een minimale frequentie van eens per maand (geldt ook voor onderaannemers);

3. Toepassing van functiescheiding in de uitvoering van deze controle;

4. Controle op (tijdens controle aandacht voor) onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).

A.12.4.4 Kloksynchronisatie

De klokken van IT-componenten die communiceren via het afsprakenstelsel en logging in het kader van Zorgeloos Vastgoed bijhouden, moeten worden gesynchroniseerd met pool.ntp.org.

Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met pool.ntp.org niet groter dan plus of min 500 ms te laten zijn.

A.12.6.1 Beheer van technische kwetsbaarheden

De processen moeten aansluiten op de Beveiligingsbeheerprocessen in het afsprakenstelsel Zorgeloos Vastgoed ten aanzien van het beheer van technische kwetsbaarheden.

Deze dienen ten minste te omvatten:

• Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden inclusief terugkoppeling naar de beheerorganisatie hieromtrent;

• Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid;

• Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.

A.14.2.1 Beleid voor beveiligd ontwikkelen

Bij het vaststellen voor het beleid voor beveiligd ontwikkelen moeten de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (ICT-beveiligingsrichtlijnen voor webapplicaties ).

Voor mobiele applicaties moeten de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (Beveiligingsrichtlijnen voor mobiele apparaten ).

A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

Organisaties moeten relevante beheersmaatregelen vanuit het afsprakenstelsel Zorgeloos Vastgoed contractueel beleggen bij hun leveranciers.

A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers

Aangeslotenen zien toe op een correcte naleving van de relevante beheersmaatregelen zoals binnen vanuit het afsprakenstelsel Zorgeloos Vastgoed opgesteld en bij de betreffende Aangeslotene belegd.

A.16.1.1 Verantwoordelijkheden en procedures

De processen en procedures voor het behandelen van incidenten en calamiteiten sluiten aan op de Beveiligingsbeheerprocessen van Zorgeloos Vastgoed.

A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

Kwetsbaarheden en incidenten die betrekking hebben op gegevens of het functioneren van het afsprakenstelsel Zorgeloos Vastgoed moeten binnen 48 uur gemeld te worden bij het centrale aanspreekpunt binnen Zorgeloos Vastgoed zoals beschreven in het Incident- en calamiteitenproces. Zie Aansluitovereenkomsten.

Softwareleveranciers Dienstverlener maken hierover zo nodig afspraken met de aangesloten Dienstverleners.

A.18.2.3 Beoordeling van technische naleving

Tenminste jaarlijks moeten whitebox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie.

Voor toetreding heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risicobevindingen op externe Zorgeloos Vastgoed koppelvlakken zijn opgelost.

Voor penetratietesten die worden uitgevoerd na toetreding dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risicobevindingen ten aanzien van de Zorgeloos Vastgoed-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie van Zorgeloos Vastgoed. De corrigerende maatregelen worden tijdig doorgevoerd.

SSD-1 Hardening

Applicaties hanteren hardeningsprincipes door alleen gebruik te maken van vereiste services, netwerkpoorten en protocollen.

SSD-3 Veilige externe componenten

Applicaties maken gebruik van veilige en actief onderhouden externe componenten (zowel statische als mobile code).

SSD-12B Sessiebeëindiging

Applicaties beëindigen actieve sessies na een vooringestelde periode van inactiviteit van de gebruiker via automatische sessiebeëindiging.

SSD-13 Onweerlegbaarheid van transacties

Applicaties borgen dat aangewezen transacties onweerlegbaar aan een persoon zijn gekoppeld.

SSD-14 Sessie-authenticiteit

Applicaties hanteren sessie-identifiers die willekeurig en onvoorspelbaar zijn.

SSD-15 Scheiding van presentatie, applicatie en gegevens

De architectuur van applicaties biedt afdoende afscherming voor onbevoegde toegang door onderliggende systemen van elkaar te scheiden.

SSD-17 Gescheiden beheerinterface

Beheeractiviteiten vinden plaats via een van de standaard gebruikersinterface gescheiden beheerinterface.

SSD-19 Invoernormalisatie

Applicaties voorkomen manipulatie door alle ontvangen invoer (gebruikers, externe systemen en applicaties) te normaliseren alvorens die te valideren.

SSD-20 Uitvoerschoning

Applicaties beperken de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren naar de juiste context.

SSD-21 Beperken van commando- en querytoegang

Applicaties leggen beperkingen aan queries en commando's (principe van least-privileged) op daar waar met achterliggende systemen wordt gecommuniceerd en deze communicatie wordt alleen ingericht indien strikt noodzakelijk.

SSD-22 Invoervalidatie

Applicaties controleren invoer (bijvoorbeeld een HTTP-request) door deze te valideren alvorens die te gebruiken.

SSD-23 Beperkte file-includes

Applicaties voorkomen de mogelijkheid van dynamische file includes.

SSD-24 Beperking van te versturen HTTP-headers

Webservers sturen bij een antwoord aan een gebruiker alleen die informatie in de HTTP-headers mee die van belang is voor het functioneren van HTTP.

SSD-26 Beperkte HTTP-methoden

Webservers voorkomen gebruik van niet-noodzakelijke methoden die tot misbruik kunnen leiden.

SSD-27 Discrete foutmeldingen

Applicaties nemen in een foutmelding geen inhoudelijke foutinformatie op die misbruikt kan worden.

SSD-28 Discreet commentaar

Commentaar bevat zo min mogelijk technische informatie om aanvallers minimaal te informeren.

SSD-29 Voorkoming van directory listing

Webapplicaties tonen geen inhoud van directories in het systeem.

SSD-32 Bescherming tegen externe entiteitinjectie in XML

Applicaties beperken de mogelijkheid tot manipulatie door alle externe XML-invoer te beschermen tegen entiteitinjectie.

SSD-33 Veilige HTTP-response headers

Applicaties beperken kwetsbaarheden in HTTP-verkeer om aanvallen te voorkomen.