Norm SM.13 Bescherming van beveiligingstechnologie

Technologie gerelateerd aan beveiliging is bestand gemaakt tegen manipulatie en beveiligingsdocumentatie wordt niet onnodig openbaar gemaakt.

Waarom is dit nodig?

Door technologie bestand te maken tegen manipulatie en documenten hierover niet openbaar te maken, maak je het kwaadwillenden moeilijker om systemen te compromitteren.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er zijn geen specifieke maatregelen getroffen om aan beveiliging gerelateerde technologie te beschermen.
  • Reguliere documentatie en beveiligingsdocumentatie worden op dezelfde manier opgeslagen.
2 Herhaalbaar
  • Er zijn beleid en procedures opgesteld om de gevolgen van een inbreuk in de beveiliging te beperken. Deze bevatten specifiek beheersmaatregelen voor configuratiemanagement, applicatietoegang, databeveiliging en fysieke beveiligingseisen.
3 Bepaald (streefniveau)
  • Beveiligingsfuncties zijn ontworpen om wachtwoordregels te ondersteunen, zoals minimumlengte, soort karakters, geldigheidsduur en voorkomen van hergebruik.
  • Toegang is geautoriseerd en op de juiste wijze goedgekeurd.
4 Beheerst

Aanvullend op niveau 3:

  • Het toekennen en goedkeuren van toegang, mislukte toegangspogingen, geblokkeerde toegang en geautoriseerde toegang tot gevoelige bestanden of data worden geregistreerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Veiligheidsrapportage wordt door het systeem gegenereerd en gebruikt om (kwaadaardig) binnendringen via kwetsbaarheden van het netwerk te voorkomen.
  • De maatregelen zijn onderdeel van een jaarlijkse managementreview van veiligheidsvoorzieningen voor fysieke en logische toegang tot bestanden en data.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Pas alle beveiligingsmaatregelen die er zijn voor andere applicaties ook toe op technologie die beveiliging moet borgen. Zo wordt inbreuk op beveiligingstechnologie zo moeilijk mogelijk gemaakt.
  • Maak documentatie over beveiliging niet openbaar. Pas bij opslag en verzenden van deze documentatie de maatregelen toe die gelden bij een hoog vertrouwelijke classificatie.

Gerelateerde wetten en normen

Norm SM.13 Bescherming van beveiligingstechnologie is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

  • A5.15
  • A5.25
  • A5.26
  • A5.28
  • A5.36
  • A6.8
  • A7.2
  • A7.7
  • A7.8
  • A7.12
  • A8.2
  • A8.5
  • A8.8
  • A8.15
  • A8.17
  • A8.18
  • A8.19
  • A8.20
  • A8.21
Afdrukken

Op deze pagina