A.12 Beveiliging bedrijfsvoering

ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

Norm	Titel	Doelstellingen en beheersmaatregelen	Deelnemer	BSNk	BO	Opmerkingen	Toelichting en referenties
A.12	Beveiliging bedrijfsvoering
A.12.1	Bedieningsprocedures en verantwoordelijkheden	Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
A.12.1.1	Gedocumenteerde bedieningsprocedures	Bedieningsprocedures moeten worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.	Sv	Sv	S		Specifiek voor BO: De BO beheert de procedures, instructies, e.d. die betrekking hebben op het Stelsel.
A.12.1.2	Wijzigingsbeheer	Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging moeten worden beheerst.	S	S	S		Specifiek voor BO: Alle wijzigingen op het Stelsel worden behandeld conform Proces change en release
A.12.1.3	Capaciteitsbeheer	Het gebruik van middelen moet worden gemonitord en afgestemd, en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.	S	S	S	Maatregel moet gezien worden in het kader van de Service Level afspraken.	Conform Service level
A.12.1.4	Scheiding van ontwikkel-, test- en productieomgevingen	Ontwikkel-, test- en productieomgevingen moeten worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.	S	S	S	BO is verantwoordelijk voor de coördinatie van de (keten)testen bij wijzigingen en van nieuwe toetreders in het netwerk met behulp van de simulatie-/testtool.	Conform Operationeel handboek en Service level. Het Stelsel hanteert een O, TA en P omgeving en een pre-productie omgeving. Voor de beschikbaarheid en inrichting van het testnetwerk zijn eisen gesteld.
A.12.2	Bescherming tegen malware	Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware.
A.12.2.1	Beheersmaatregelen tegen malware	Ter bescherming tegen malware moeten beheersmaatregelen voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.	Sv	Sv	Sv	Iedere organisatie neemt adequate maatregelen tegen virussen en malware. Bij 'doorbraken' dient onderzocht te worden wat de impact op het netwerk c.q. stelsel is.
A.12.3	Back-up	Beschermen tegen het verlies van gegevens.
A.12.3.1	Back-up van informatie	Regelmatig moeten back-upkopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.	Sv	Sv	Sv	Back-up strategie moet minimaal de SLA ondersteunen. Additioneel afspraken over: "dienst" zoals benoemd in SLA: inclusief gegevens die met de dienst beheerd worden, maximaal dataverlies afspraken m.b.t. classificatie van gegevens hebben tevens betrekking op de back-up
A.12.4	Verslaglegging en monitoren	Gebeurtenissen vastleggen en bewijs verzamelen.
A.12.4.1	Gebeurtenissen registreren	Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.	S	S	S	Deze maatregel omvat het loggen van transacties, incidenten, foutmeldingen e.d.	Conform Beleid voor informatiebeveiliging en Elke Deelnemer en BSNk moet het volledige HTTP bericht van binnenkomende communicatie als gevolg van Elektronische Toegangsdiensten loggen. Elke Deelnemer en BSNk moet alle uitgaande SAML berichten loggen. Een Deelnemer en BSNk moet op basis van logging inzicht kunnen geven in het totaal aantal geslaagde transacties (succesvolle responses op verstuurde requests) en het totaal aantal foutieve transacties (requests zonder response of met een foutmelding als response) in een periode. Elke Deelnemer en BSNk moet alle door haar ondertekende en alle door haar ontvangen ondertekende berichten minimaal 7 jaar archiveren. Na deze periode moeten ten minste de in deze berichten voorkomende persoonsgegevens vernietigd worden tenzij noodzaak kan worden aangetoond om deze langer te bewaren Authenticatiediensten moeten bij de gearchiveerde berichten een referentie naar het gebruikte middel opslaan, zodat de audit trail naar de gebruiker sluitend wordt. Machtigingenregisters moeten bij de gearchiveerde berichten een referentie naar de geregistreerde bevoegdheid waarop de verklaring van bevoegdheid berust opslaan, zodat de audit trail naar de machtigingsverlener sluitend wordt. Authenticatiediensten en Machtigingenregisters moeten bewijsstukken die zijn gebruikt bij uitgifte/registratie van middelen of machtigingen 7 jaar archiveren zodat de audittrail naar gebruiker of machtingsverlener sluitend wordt, tenzij beargumenteerd wordt waarom dit niet wordt gearchiveerd
A.12.4.2	Beschermen van informatie in logbestanden	Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen vervalsing en onbevoegde toegang.	Sv	Sv	Sv	Dient aan te sluiten op de vereiste historie voor b.v. fraudeonderzoek (geen relatie met archivering), b.v. passend bij 6 maanden periode voor terugzoeken transacties en handelingen op kritieke systemen	Elke deelnemer en BSNk moet logging beveiligd opslaan en moet deze alleen toegankelijk maken voor bevoegde personen. Een deelnemer mag logging niet verwijderen binnen de verplichte bewaartermijn.
A.12.4.3	Logbestanden van beheerders en operators	Activiteiten van systeembeheerders en -operators moeten worden vastgelegd en de logbestanden moeten worden beschermd en regelmatig worden beoordeeld.	Sv	Sv	Sv		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT.
A.12.4.4	Kloksynchronisatie	De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met één referentietijdbron.	S	S	v	Noodzakelijk voor goede berichtenafhandeling, er dient een eenduidige tijdsbron te worden gedefinieerd en gebruikt	Conform Interface specifications. Afspraken omtrent tijdsynchronisatie zijn opgenomen in Synchronize system clocks.
A.12.5	Beheersing van operationele software	De integriteit van operationele systemen waarborgen.	v	v	v		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in
A.12.5.1	Software installeren op operationele systemen	Om het op operationele systemen installeren van software en moeten procedures worden geïmplementeerd.	v	v	v		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.12.6	Beheer van technische kwetsbaarheden	Benutting van technische kwetsbaarheden voorkomen.
A.12.6.1	Beheer van technische kwetsbaarheden	Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt moet tijdig worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken.	Sv	Sv	S	Er wordt een hoog niveau van beveiliging verwacht. Specifiek wordt van de deelnemer verwacht dat deze zelf de ontwikkelde informatiesystemen test op alle bekende technische kwetsbaarheden in de broncode (test/audittools) en werking van het informatiesysteem (penetratietesten). Daarnaast dient conform de afspraken in het afsprakenstelsel periodiek, op initiatief van de beheerorganisatie, een penetratietest te worden uitgevoerd op het netwerk en de specifieke systemen van een deelnemer en het BSNk.	De deelnemers, BSNk en de beheerorganisatie moeten ten minste tweemaal per jaar een penetratietest laten uitvoeren. In het geval dat de beheerorganisatie penetratietesten organiseert ten behoeve van het stelsel dan moeten deelnemers en BSNk hier aan meewerken.
A.12.6.2	Beperkingen voor het installeren van software	Voor het door gebruikers installeren van software moeten regels worden vastgesteld en geïmplementeerd.	v	v	v		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.12.7	Overwegingen betreffende audits van informatiesystemen	De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.
A.12.7.1	Beheersmaatregelen betreffende audits van informatiesystemen	Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, moeten zorgvuldig worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.	Sv	Sv	S		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in, maar moet wel in VvT. BO beheert de auditeisen i.e. normenkaders.