Verifieer altijd

ArchiMate-modellen > GEMMA > Principles > Verifieer altijd
Contextdiagram
Verifieer doorlopend de kwaliteit en de juiste werking van de componenten en beheersmaatregelen van de dienst. Amsterdam: Borg gedurende de levensloop van onze digitale diensten dat deze passend, betrouwbaar, beschikbaar, actueel en veilig zijn met inachtneming van wettelijke kaders en beleidskaders. (Principle) Verifieer altijd Werk voor identificatie en authenticatie met PBAC (policy bases acces control) voor nieuwe componenten. Werk met RBAC (role based acces control) voor bestaande "oude" applicaties en koppelingen als deze niet met PBAC overweg kunnen. (Requirement) Gebruik overheidsbred- e afspraken en standaarden voor identificat- ie en authentic- atie Informatie die niet openbaar gemaakt of gedeeld mag worden, wordt vertrouwelijk behandeld. Deze vertrouwelijke informatie is afdoende afgeschermd voor onbevoegden door passende technische en organisatorische maatregelen. Bekend is wie bevoegdheden heeft om informatie te creëren, kopiëren, wijzigen en vernietigen, en wanneer deze bevoegdheden zijn gebruikt. (Goal) Vertrouwelijk Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden. (Requirement) Stel onweerlegbaa- rheid vast Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias. (Requirement) Verifieer de werking van algoritmes Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is. (Requirement) Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels. (Requirement) Maak toegang tot applicaties en gegevens afhankelijk van authenticatieni- veau Diensten en de hiervoor benodigde informatie, zijn op het juiste moment klaar voor gebruik. De overheidsdienstverlener zorgt voor de tijdigheid, continuïteit en robuustheid van de dienst, zodanig dat deze: # geleverd kan worden wanneer deze nodig is; # ook in de toekomst geleverd blijft worden; # bestand is tegen verstoringen en aanvallen. De overheidsdienstverlener legt daarom de vereisten over beschikbaarheid vast en evalueert deze regelmatig. De overheidsdienstverlener zorgt ervoor dat de dienst aan de verwachtingen blijft voldoen, die burgers en bedrijven redelijkerwijs mogen stellen. (Goal) Beschikbaar Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar. Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG). Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata. (Requirement) Maak zoveel mogelijk data - proactief beschikbaar als open data wa- arbij linked open data de v oorkeur heeft. Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege). (Requirement) Verleen alleen strikt noodzakelijke toegangsrecht- en Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt. (Requirement) Segmenteer het netwerk Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten zo min mogelijk persoonsgegevens (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten. (Requirement) Richt een sterke logging en audit-trail in De overheid legt verantwoording af aan het publiek en de volksvertegenwoordiging. De keuzes die ten grondslag liggen aan de inrichting van de dienstverlening zijn inzichtelijk. De overheidsdienstverlener kan laten zien hoe verschillende belangen tegenover elkaar zijn afgewogen. De overheidsdienstverlener rapporteert hoe de dienst functioneert, welke middelen daarvoor nodig zijn en welke verbeteringen noodzakelijk zijn. (Goal) Verantwoord Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer. Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de gedligheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Vertaal dit naar business rules met daarin toegang onafhankelijk van binnenkomst. Dit wordt ook wel het 'zero-trust' model genoemd. (Requirement) Hanteer het zero-trust model De informatie die de overheid gebruikt en levert is -binnen afgesproken kwaliteitscriteria- in overeenstemming met de werkelijkheid. De informatie is correct, compleet en actueel. Burgers en bedrijven hebben inzage in de informatie die hen betreft, wanneer deze is gecreëerd, gelezen, gekopieerd, gewijzigd of vernietigd. Alle relevante informatie wordt verstrekt, er wordt niets verwijderd of achtergehouden. Gebruikte en verstrekte informatie is over diensten heen onderling consistent. (Goal) Integer Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken rondom taken en verantwoordelijkheden (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens (gegevensverwerking) en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [1] (Requirement) Richt data gov- ernance in Ga uit van overheidsbreed hergebruik van diensten, of onderdelen daarvan voordat je overgaat tot het kopen of het laten maken. (Principle) Hergebruik voor kopen, voor maken AssociationRelationship RealizationRelationship AssociationRelationship AssociationRelationship AssociationRelationship AssociationRelationship RealizationRelationship AssociationRelationship AssociationRelationship AssociationRelationship AssociationRelationship RealizationRelationship AssociationRelationship RealizationRelationship AssociationRelationship AssociationRelationship Deze svg is op 30-12-2024 16:44:42 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 30-12-2024 16:44:42 CET
Eigenschappen
Elementtype     Principle
Label     Verifieer altijd
Definitie     Verifieer doorlopend de kwaliteit en de juiste werking van de componenten en beheersmaatregelen van de dienst.


Amsterdam: Borg gedurende de levensloop van onze digitale diensten dat deze passend, betrouwbaar, beschikbaar, actueel en veilig zijn met inachtneming van wettelijke kaders en beleidskaders.
Toelichting     Vertrouwen in het service-niveau van een overheidsdienstverlener, in de beschikbaarheid van een dienst, in de betrouwbaarheid van informatie, in de werking van een component, of de adequaatheid van beheersmaatregelen, is alleen gerechtvaardigd als de componenten en beheersmaatregelen van de dienst doorlopend wordt geverifieerd.
GEMMA type     Principe
ID     GAP14
Toelichting     Vertrouwen in het service-niveau van een overheidsdienstverlener, in de beschikbaarheid van een dienst, in de betrouwbaarheid van informatie, in de werking van een component, of de adequaatheid van beheersmaatregelen, is alleen gerechtvaardigd als de componenten en beheersmaatregelen van de dienst doorlopend wordt geverifieerd.
Opmerking     Samengevoegd met NAP17 en voorstel van Amsterdam is eigenlijk wat duidelijker. Daarom aangepast. Amsterdam: Borg gedurende de levensloop van onze digitale diensten dat deze passend, betrouwbaar, beschikbaar, actueel en veilig zijn met inachtneming van wettelijke kaders en beleidskaders.
NORA principe     https://www.noraonline.nl/wiki/Verifieer_altijd
Vindt grondslag in     Agenda Digitale Grondrechten en Ethiek
Heeft bron     NORA
GEMMA type     Principe
Object ID     23df0720-1762-447c-99e4-9c329c483f9e
Object ID_nl     23df0720-1762-447c-99e4-9c329c483f9e
Original ID     id-d78c3f24-70bd-11e4-67ab-0050568a6166
Semanticsearch     verifieer altijd
Implicaties
  • Gebruik overheidsbrede afspraken en standaarden voor identificatie en authenticatie (Werk voor identificatie en authenticatie met PBAC (policy bases acces control) voor nieuwe componenten. Werk met RBAC (role based acces control) voor bestaande "oude" applicaties en koppelingen als deze niet met PBAC overweg kunnen.)
  • Stel onweerlegbaarheid vast (Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.)
  • Verifieer de werking van algoritmes (Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.)
  • Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces (Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.)
  • Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau (Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.)
  • Maak zoveel mogelijk data proactief beschikbaar als open data waarbij linked open data de voorkeur heeft. (Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar.

    Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG).

    Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.    )
  • Verleen alleen strikt noodzakelijke toegangsrechten (Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege).)
  • Segmenteer het netwerk (Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.)
  • Richt een sterke logging en audit-trail in (Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten zo min mogelijk persoonsgegevens (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.)
  • Hanteer het zero-trust model (Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer. Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de gedligheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Vertaal dit naar business rules met daarin toegang onafhankelijk van binnenkomst. Dit wordt ook wel het 'zero-trust' model genoemd.)
  • Richt data governance in (Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken rondom taken en verantwoordelijkheden (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens (gegevensverwerking) en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [1])
Relaties
Uitgaand    
ArchiMate-views
Komt voor op view    

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)).

Een door een applicatie geleverde dienst (te gebruiken via applicatieinterfaces).

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Betekenisvolle gegevens.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Een kwalitatieve intentieverklaring waaraan de architectuur moet voldoen. (Synoniem van: Architectuurprincipe )

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem.

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. (Synoniem van: Gegeven )

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=GEMMA/id-23df0720-1762-447c-99e4-9c329c483f9e&oldid=165241"
Deze pagina is voor het laatst bewerkt op 21 dec 2024 om 06:14.