4.5 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+======================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Systeem-_en_net- werkbeveiliging | #Bescherming | +------------------------+----------------------------------------------------+----------------------+--------------------------------------+---------------------+
Beheersmaatregel
Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten behoren te worden geïdentificeerd, geïmplementeerd en gemonitord.
Doel
De beveiliging bij het gebruik van netwerkdiensten waarborgen.
Richtlijn
De beveiligingsmaatregelen die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en -eisen, behoren te worden vastgesteld en geïmplementeerd (door interne of externe aanbieders van netwerkdiensten)e organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren.
De kundigheid van de aanbieder van de netwerkdienst om de overeengekomen diensten veilig te beheren, behoort te worden vastgesteld en regelmatig te worden gemonitordet recht om een audit uit te voeren behoort te worden overeengekomen tussen de organisatie en de aanbiedere organisatie behoort ook door dienstverleners verstrekte attesten van derden in aanmerking te nemen om aan te tonen dat zij passende beveiligingsmaatregelen handhaven.
Er behoren regels over het gebruik van netwerken en netwerkdiensten te worden opgesteld en geïmplementeerdeze behoren het volgende af te dekken:
a) de netwerken en netwerkdiensten waartoe toegang wordt verleend;
b) eisen voor authenticatie voor de toegang tot de verschillende netwerkdiensten;
c) autorisatieprocedures om vast te stellen wie toegang krijgt tot welk netwerk en welke
netwerkdiensten;
d) netwerkbeheer- en technologische beheersmaatregelen en -procedures om de toegang tot
netwerkverbindingen en -diensten te beschermen;
e) de middelen die worden gebruikt om toegang te krijgen tot netwerken en netwerkdiensten [bijv.
het gebruik van een virtueel privénetwerk (VPN) of draadloos netwerk];
f) tijdstip, locatie en andere attributen van de gebruiker op het tijdstip van de toegang;
g) monitoren van het gebruik van netwerkdiensten.
De volgende beveiligingskenmerken van netwerkdiensten behoren in overweging te worden genomen:
a) technologie die wordt toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie,
codering en beheersmaatregelen voor netwerkverbinding;
b) technische parameters die nodig zijn voor een veilige verbinding met de netwerkdiensten, in
overeenstemming met de regels voor beveiliging en netwerkverbinding;
c) 'caching' (bijvn een 'content delivery network') en de parameters daarvan die gebruikers in staat stellen het gebruik van 'caching' te kiezen overeenkomstig de prestatie-, beschikbaarheids- en vertrouwelijkheidseisen;
d) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot netwerkdiensten
of, voor zover noodzakelijk, -toepassingen.
Overige informatie
Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemeneze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde.
Verdere richtlijnen over een kader voor toegangsbeheer worden gegeven in ISO/IEC 29146.