De BIG en de Omgevingswet

Hoofdstuk: Relevante normen: Techniek

De BIG en de Omgevingswet
  1. Managementsamenvatting
  2. Inleiding
  3. Architectuur
  4. Bestuurlijke aspecten
  5. Bevoegde gezagen
  6. Relevante normen: Organisatie
  7. Relevante normen: IB Processen
  8. Relevante normen: Techniek
  9. Bijlage A: Begrippen
  10. Bijlage B: Architectuurplaat
  11. Bijlage C: Basisnormen
Deze pagina is een onderdeel van De BIG en de Omgevingswet compleet: Hele document bekijken - Exporteren - Definitie

De overeenkomsten tussen de in de architectuur gedefinieerde processen laat zich vooral duidelijk zien in de vertaling naar concrete informatiesystemen en techniek. Zoals beschreven in paragraaf 2.1.1 gebruiken we de volgende overeenkomsten:

  • (1) De processen hebben allemaal een informatiesysteem inclusief de ondersteunende hardware nodig om te kunnen werken.
  • (2) De processen vereisen allemaal een koppeling met het DSO en/of de generieke GDI-bouwstenen.
  • (3) De processen vereisen allemaal een koppeling met (reeds bestaande) gemeentelijke gedeelde functionaliteiten. (o.a. zaaksystemen)
  • (4) Een aantal processen krijgt input vanuit het Omgevingsloket.
  • (5) Alle processen hebben een publicatie (output) tot gevolg.

In dit hoofdstuk worden de relevante normen beschreven en toegelicht op basis van de bovenstaande categorieën. Er is per norm aangegeven op welke van bovenstaande overeenkomsten (1) t/m (5) de normen van toepassing zijn.

Naast de normen in dit hoofdstuk zijn er nog additionele normen vanuit de BIG waaraan voldaan moet worden. Echter zijn deze normen van een dusdanig basisniveau dat deze verder geen uitleg behoeven. Voor de volledigheid zijn deze normen opgenomen in Bijlage C.

Relevante normen vanuit de BIG

Specifiek voor de implementatie van de informatiesystemen voor de Omgevingswet en de koppelingen naar andere systemen (gemeente interne systemen, GDI en DSO) zijn onderstaande normen van belang

BIG Norm 10.10.1

Aanmaken audit-logbestanden

Er moet worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd, uitgevoerd en bijgehouden door die derde partij.

  1. Van logbestanden worden rapportages gemaakt die periodiek worden beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden. De GBA logging kan bijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal.
  2. Een logregel bevat minimaal:
    • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID
    • de gebeurtenis (zie 10.10.2.1)
    • waar mogelijk de identiteit van het werkstation of de locatie
    • het object waarop de handeling werd uitgevoerd
    • het resultaat van de handeling
    • de datum en het tijdstip van de gebeurtenis
    • (A) In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).
    • (A) Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM ) waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.
    • Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).


Relevantie:
Het is verplicht om (foutieve) handelingen van gebruikers te kunnen achterhalen. Dit ivm het mogelijk herstellen van de fouten, of het aanspreken van degene die de acties heeft uitgevoerd. Van toepassing op: (1), (3) Impact:
Indien er foutieve of zelfs onbevoegde handelingen zijn uitgevoerd op de informatie systemen van de Omgevingswet moet het mogelijk zijn om te achterhalen wie er wat precies gedaan heeft. Dit om zo snel mogelijke de veroorzaakte fouten te kunnen herstellen of de persoon in kwestie aan te spreken en daarmee herhaling te voorkomen. Dit kan onnodige onbeschikbaarheid voorkomen. Oplossingsrichting:
Het inrichten van audit-logging is mogelijk, specifiek voor de informatie systemen van de Omgevingswet. Het is echter verstandiger om dit centraal in te richten voor alle aanwezige informatiesystemen. Daarmee zijn namelijk de systemen met gedeelde gemeentelijke functionaliteiten ook direct meegenomen. De ervaring is dat het centraal inrichten van een dergelijke logging faciliteit uiteindelijk ook goedkoper is. Om de verzamelde logging nog beter te kunnen gebruiken en op voorhand al afwijkend gedrag te kunnen signaleren is het mogelijk om gebruik te maken van SIEM tooling. Dit is echter complexer en kost meer inspanning. Het is met SIEM tooling mogelijk om afwijkend gedrag near-real-time te detecteren en direct actie te ondernemen. Dit kan verdere schade beperken, wat een besparing van geld en resources oplevert. Dit maakt de extra complexiteit en inspanning in de meeste gevallen ruimschoots goed. Zie hiervoor ook de IBD factsheet SIEM/SOC: https://www.ibdgemeenten.nl/wp-content/uploads/2017/04/201704-Factsheet-SIEM-SOC-v1.00.pdf Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen 12.4.1.[1, 2 en 3] en de volgende maatregelen zijn komen te vervallen 10.10.1.[1 en 5].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 11.2.2

Beheer van (speciale) bevoegdheden

De toewijzing en het gebruik van speciale bevoegdheden moet worden beperkt en gecontroleerd.

  1. Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).
  2. Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.
  3. Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando’s.
  4. Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / afdeling.


Relevantie:
Binnen de Omgevingswet worden verschillende soorten gegevens gebruikt, voor verschillende processen en doelen. Het is hierbij van belang dat slechts de juiste personen toegang krijgen tot deze informatie. Zeker waar het gaat om bijzondere persoonsgegevens of andere gevoelige gegevens die binnen onze maatschappij schade kunnen veroorzaken.

Van toepassing op: (1), (3)

Impact:
Alle gegevens die verwerkt worden binnen de Omgevingswet dienen op adequate wijze beschermd te worden. De toegang en verwerking dienen tot op persoon herleidbaar te zijn. Deze bescherming kan mede worden vastgesteld op basis van de classificatie van deze gegevens.

Oplossingsrichting:
Ontwikkel een matrix waarin men de gebruikers/rollen/(systeem)accounts af zet tegen de verwerkte gegevens. In deze matrix kan men dan bepalen welke bevoegdheden men moet hebben tot de betreffende informatie. Bij de meeste organisaties is een dergelijke matrix al ingericht. Het is mogelijk om hier vanuit de Omgevingswet bij aan te sluiten. In het meest optimale geval bestaan er al rollen die men kan gebruiken binnen de Omgevingswet. Deze rollen dienen dan de juiste bevoegdheden te krijgen binnen de Omgevingswet.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 9.4.4.1 en de volgende maatregelen zijn komen te vervallen 11.2.2.[2, 3 en 4].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 12.3.1

Beleid voor het gebruik van cryptografische beheersmaatregelen

Er moet beleid worden ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie.

  1. De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
  2. Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
  3. (A) De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).


Relevantie:
De Omgevingswet werkt met persoonsgegevens en heeft koppelingen met diverse andere partijen. Dit heeft direct tot gevolg dat er cryptografische maatregelen op diverse onderdelen noodzakelijk zijn. Van toepassing op: (1), (2), (3), (4), (5)

Impact:
Het beschermen van de gebruikte informatie (incl. persoonsgegevens) binnen de Omgevingswet is op diverse gebieden van belang. Met name voor het transport (bv naar andere partijen) en de opslag van de informatie is encryptie belangrijk. Op basis van een risicoanalyse dient er besloten te worden waar men encryptie toe past.

Oplossingsrichting:
Het gebruik van cryptografische middelen binnen de Omgevingswet vindt plaats op diverse gebieden. Denk hierbij aan koppelingen met andere partijen en de opslag van gevoelige gegevens, zoals persoonsgegevens. Het is van belang dat de juiste cryptografische middelen en standaarden gebruikt worden. Hiervoor heeft de overheid de zogenaamde “Pas toe of leg uit” (PTLU) lijst opgesteld. Deze lijst bevat open standaarden die geschikt zijn voor het gebruik binnen de Nederlandse overheid.

Deze lijst bevat ook standaarden voor encryptie. Maak gebruik van deze lijst om de juiste cryptografische middelen te selecteren. Deze lijst is te vinden: https://www.forumstandaardisatie.nl/open-standaarden/lijst

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 10.1.1.2 en de volgende maatregelen zijn komen te vervallen 12.3.1.[1 en 2].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.10.3

Bescherming van informatie in logbestanden

Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, moeten worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en -processen en met heroverweging van risico's.

  1. Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
  2. (A) Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.
  3. Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
  4. De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden.
  5. (A) De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar.
  6. Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).


Relevantie:
Het is verplicht om (foutieve) handelingen van gebruikers te kunnen achterhalen. Dit ivm het mogelijk herstellen van de fouten, of het aanspreken van degene die de acties heeft uitgevoerd. Het goed beschermen van de voor dit doel noodzakelijk informatie (bewijs) is hierbij essentieel.

Van toepassing op: (1), (3)

Impact:
De noodzaak van logging is beschreven bij norm 10.10.1. Het beschikbaar hebben van deze logging voor de geautoriseerde personen is de kern hiervan. Het adequaat beschermen van deze logging is dan ook onontbeerlijk.

Oplossingsrichting:
Dit ligt in dezelfde lijn als de oplossingsrichting bij norm 10.10.1. Bij het ontwerpen van de logging oplossing, moet deze aan een aantal voorwaarden voldoen. Deze norm geeft daar concrete invulling aan en geeft richting aan de technische invulling van de logging oplossing.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 12.4.2.2 en de volgende maatregelen zijn komen te vervallen 10.10.3.[1, 2, 3, 4, 5 en 6].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.10.2

Controle van systeemgebruik

De diensten, rapporten en registraties die door de derde partij worden geleverd, moeten regelmatig worden gecontroleerd en beoordeeld en er moeten regelmatig audits worden uitgevoerd.

  1. De volgende gebeurtenissen worden in ieder geval opgenomen in de logging:
    • gebruik van technische beheerfuncties, zoals het wijzigingen van configuratie of instelling; uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore
    • gebruik van functioneel beheerfuncties, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases)
    • handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoordreset, uitgifte en intrekken van cryptosleutels
    • beveiligingsincidenten (zoals de aanwezigheid van malware, testen op vulnerabilities, foutieve inlogpogingen, overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet operationele systeemservices, het starten en stoppen van security services)
    • verstoringen in het productieproces (zoals het vollopen van queues, systeemfouten, afbreken tijdens executie van programmatuur, het niet beschikbaar zijn van aangeroepen programmaonderdelen of systemen)
    • handelingen van gebruikers, zoals goede en foute inlogpogingen, systeemtoegang, gebruik van online transacties en toegang tot bestanden door systeembeheerders.


Relevantie:
De in norm 10.10.1 bedoelde informatie is in deze norm inhoudelijk beschreven en dient op beschreven wijze vastgelegd te worden. Van toepassing op: (1), (3) Impact:
De noodzaak van logging is beschreven bij norm 10.10.1. De definitie van de te loggen activiteiten bepaald mede de bruikbaarheid van de logging. Het is van belang om deze activiteiten ook op beschreven manier vast te leggen. Oplossingsrichting:
Dit ligt in dezelfde lijn als de oplossingsrichting bij norm 10.10.1. Bij het inrichten van de logging, moet er tijdens de configuraties van de systemen aangegeven worden welke gegevens precies gelogd moeten worden. Deze norm geeft daar de juiste invulling aan. Impact BIO:
Deze norm is niet geheel gelijk aan de BIO-norm 9.4.4.2.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.8.4

Elektronisch berichtenuitwisseling

Er moeten procedures worden vastgesteld om het gebruik van IT - voorzieningen te controleren. Het resultaat van de controleactiviteiten moet regelmatig worden beoordeeld.

  1. (A) Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.
  2. Er is een (spam) filter geactiveerd voor e-mail berichten.


Relevantie:
Deze norm is van toepassing op alle berichtenverkeer tussen gemeentelijke systemen en het DSO en de GDI-bouwstenen.

Van toepassing op: (2), (3), (4), (5)

Impact:
De hierboven genoemde koppelingen dienen getekend en versleuteld te worden met het gebruik van PKI-overheid certificaten. Deze norm heeft een relatie met norm 10.6.1 en kan in het patroon voor de koppelvlakken toegepast worden.

Oplossingsrichting:
Op dit moment is het nog niet duidelijk op welke technische manier gemeenten met het DSO gekoppeld worden. Het is mogelijk dat er een centrale voorziening komt om dit te realiseren. Daarnaast zal ook het DSO wellicht aanvullende eisen stellen om aan te mogen sluiten. Ook dit is nog niet vastgelegd. Dit zal in de toekomst duidelijk worden.

De IBD-handreiking Enryptiebeleid (PKI) en de operationele BIR-patroon 2.12 Public Key Infrastructure en kunnen in de toekomst helpen om de uitwisseling van berichten veilig te faciliteren.

De IBD-handreiking is hier te downloaden: https://www.ibdgemeenten.nl/wp-content/uploads/2016/08/20160802-Encryptiebeleid-PKI-gemeente-1.0.1.pdf

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 13.2.3.3 en de volgende maatregel is komen te vervallen 10.8.4.2.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.6.1

Maatregelen voor netwerken

Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.

  1. Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.
  2. (A) Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
  3. (A) Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.
  4. Er zijn procedures voor beheer van apparatuur op afstand.


Relevantie:
De koppelingen naar de GDI-bouwstenen en het DSO zijn netwerkkoppelingen waarover een gestandaardiseerde protocollen (STuF-LVO & STAM) getransporteerd zal worden. De bovenstaande norm is daarmee van toepassing op deze koppelingen.

Van toepassing op: (1), (2), (3), (4), (5)

Impact:
Zonder koppelingen met de GDI-bouwstenen en het DSO functioneert de informatievoorziening voor de Omgevingswet niet. Het is daarom essentieel dat deze koppeling op de juiste wijze veilig gefaciliteerd wordt.

Oplossingsrichting:
Voor de koppeling met GDI-bouwstenen en het DSO dient het netwerk en de externe koppeling beheerd en geconfigureerd te worden. De operationele patronen van de BIR kunnen hierbij hulp bieden. Met name patroon 2.1 Patroon generieke netwerkconfiguratie en patroon 2.2 Patroongroep koppelvlakken geven duidelijk aan welke maatregelen getroffen dienen te worden.

De hierboven genoemde patronen zijn hier te vinden: https://www.earonline.nl/images/earpub/5/5c/BIR_Operationele_Handreiking_v1_0.pdf

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 12.2.1.5 en de volgende maatregelen zijn komen te vervallen 10.6.1.[1,3 en 4].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.5.1

Reservekopieën maken (back-ups)

Systeemdocumentatie moet worden beschermd tegen onbevoegde toegang.

  1. Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.
  2. Back-upstrategieën zijn vastgesteld op basis van het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd.
  3. Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie. De andere locatie is zodanig gekozen dat een incident/calamiteit op de oorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van die registratie.
  4. Back-ups worden bewaard op een locatie die zodanig is gekozen dat een incident op de oorspronkelijke locatie niet leidt tot schade aan de back-up.
  5. De fysieke en logische toegang tot de back-ups, zowel van systeemschijven als van data, is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze back-ups.


Relevantie:
De informatie noodzakelijk voor de uitvoering van de Omgevingswet moet beschikbaar blijven, ook bij uitval of beschadiging van de informatiesystemen. Hierbij is ook de Archiefwet van toepassing. Het maken van backups is daarvoor noodzakelijk.

Van toepassing op: (1), (3)

Impact:
Bij ieder systeem kan een verstoring of defect optreden. Bij het verliezen van informatie kunnen de processen binnen de Omgevingswet niet meer functioneren. Een goede backup is onmisbaar voor het beschikbaar houden van de benodigde informatie. Dit is een van de eerste maatregelen die getroffen moeten worden bij informatiesystemen.

Oplossingsrichting:
Het inrichten van backup en recovery is een van de eerste maatregelen die genomen moeten worden om de beschikbaarheid van informatie te kunnen borgen. Door de verschillende eisen en mogelijkheden voor het tot stand brengen van een gedegen backup schema, blijkt dit toch vaak nog een complexe opdracht te zijn. Om tot een juiste inrichting te kunnen komen heeft de IBD ter ondersteuning een handreiking gepubliceerd.

De handreiking van de IBD over Backup en Recovery kan helpen bij het inrichten hiervan: https://www.ibdgemeenten.nl/wp-content/uploads/2016/07/20160721-Back-up-en-recovery-gemeente-1.0.1.pdf

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen 10.3.1.[2 en 5] en de volgende maatregelen zijn komen te vervallen 10.5.1.[3, 4 en 5].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 11.4.5

Scheiding van netwerken

Groepen informatiediensten, gebruikers en informatiesystemen moeten op netwerken worden gescheiden.

  1. (A) Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.
  2. (A) De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden.
  3. (A) Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie.
  4. (A) Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone.
  5. Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).


Relevantie:
De informatiesystemen voor de Omgevingswet hebben zowel interne koppelingen als externe koppelingen. De koppelingen met deze netwerken dienen op de juiste wijze (logisch) gescheiden te zijn. Van toepassing op: (1), (2), (3), (4), (5)

Impact:
Het scheiden van netwerken(zonering) is voor de implementatie van de informatiesystemen van de Omgevingswet noodzakelijk. Indien er nog geen gebruik gemaakt wordt van enige zonering, kost het veel inspanning om dit te ontwerpen en te implementeren.

Oplossingsrichting:
De meeste gemeenten hebben al (logische) scheiding van netwerken toegepast in hun ICT-infrastructuur. Het bijplaatsen van informatiesystemen voor de Omgevingswet is in dat geval slechts een uitbreiding van de bestaande netwerken. Het kan zelfs voorkomen dat er al netwerken bestaan voor informatie met dezelfde classificatie als die voor de Omgevingswet. In dat geval is het enkel bijplaatsen van de systemen voor de Omgevingswet voldoende.

Onderzoek hoe de netwerk infrastructuur ingericht is en bepaal de acties die genomen moeten worden. Voor gemeenten die nog geen scheiding van netwerken hebben ingericht is het van belang om een zoneringsontwerp op te stellen en deze te implementeren. Dit kan echter verstrekkende gevolgen hebben voor de huidige inrichting van de ICT-infrastructuur. Het is aan te raden om hier een separaat project voor in te richten.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 13.1.3.1 en de volgende maatregelen zijn komen te vervallen 11.4.5.[1, 2, 4 en 5].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.


De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Een mens van vlees en bloed.

Iets dat binnen of buiten een organisatie is gebeurd en binnen die organisatie of daarbuiten gevolgen heeft.

De eenheid van wezen, volkomen overeenstemming en gelijkheid. Dat wat uniek of eigen is aan iets of iemand. Het kan daarbij gaan om zowel personen als organisaties of landen.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Betekenisvolle gegevens.

Een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

De herbruikbare vorm van een oplossing voor een ontwerpprobleem

Groepering van services die aan afnemers worden aangeboden, met als doel het bevorderen van uniformiteit en efficiëntie binnen de overheid.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Het verstrekken aan en ontvangen van gegevens tussen (informatiesystemen van) overheidsorganisaties onderling en (informatiesystemen van) andere organisaties of personen.

Het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie.

De herbruikbare vorm van een oplossing voor een ontwerpprobleem

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Het geheel van voorzieningen dat nodig is om een land of organisatie, zoals een bedrijf of een instelling, goed te laten functioneren.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=BIGOw_Relevante_normen_-_Techniek&oldid=953600"
Deze pagina is het laatst bewerkt op 5 okt 2023 om 02:24.