Norm SM.11 Netwerkbeveiliging
Waarom is dit nodig?
Netwerkbeveiliging helpt bij het tegengaan van bedreigingen van buitenaf. Als je beveiligingstechnieken toepast met gebruik van best practices, verklein je het risico op diefstal, corruptie en onjuist of ongeautoriseerd gebruik van informatie.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen netwerkbeveiligingsbeleid.
- Er zijn geen procedures of richtlijnen.
- Ad-hocrisicoanalyse en het gebruik van maatregelen door individuen.
2 Herhaalbaar
- Er is een informeel netwerkbeveiligingsbeleid
- Er worden procedures voor implementatie van netwerkbeveiliging gevolgd, maar deze zijn niet formeel vastgesteld.
- Best practices worden gebruikt, maar niet op een gestructureerde manier.
3 Bepaald (streefniveau)
- Er is een netwerkbeveiligingsbeleid vastgesteld en ingevoerd: procedures, richtlijnen en documentatie voor het beheer van essentiële netwerkcomponenten zijn ingericht en worden onderhouden.
- Beveiligingstechnieken worden gebruikt voor toegangsautorisatie, beheer van informatiestromen en verschillende beveiligingszones.
- Bij het transport van gevoelige data over niet vertrouwde netwerken wordt geschikte encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel. gebruikt.
4 Beheerst
Aanvullend op niveau 3:
- De relevante procedures worden periodiek geëvalueerd op actualiteit en uitvoering. De uitkomsten hiervan worden gedocumenteerd.
- Op basis van deze evaluaties worden verbeteringen doorgevoerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Op basis van het periodieke assessment worden de procedures geëvalueerd en verbeterd. Tekortkomingen worden gerapporteerd aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Stel vast welk beleid, procedures en richtlijnen voor de organisatie van toepassing zijn. Leg dit vast in de beveiligingsbaselines. Zie voor meer informatie norm SM.01 Beveiligingsbaselines.
- Zorg dat er bij transport van gevoelige data zoals grote hoeveelheden persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. over een niet-vertrouwd netwerk versleutelingDe technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management. plaatsvindt.
- Pas netwerksegmentatie toe om verspreiding van malware en virussen te kunnen beperken.
Gerelateerde wetten en normen
Norm SM.11 Netwerkbeveiliging is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A8.20
- A8.21
- A8.22
Certificeringsschema IBP ROSA
- Beschikbaarheid/Capaciteit Beheer
- Vertrouwelijkheid/Netwerk toegang
- Vertrouwelijkheid/Transport en fysieke opslag