Beheers risico's voortdurend

ArchiMate-modellen > GEMMA > Principles > Beheers risico's voortdurend
Contextdiagram
Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan. (Principle) Beheers risico's voortdurend Zorg als gemeente voor digitale veiligheid door bewustwording campagnes, beveiligingsmaatregelen en handhaving daarop. Door afnemers vanuit de gemeente te informeren en bewust te maken wat de risico's en impact is en hoe te handelen als er uitval is en deze campagnes ter herhalen worden de risico's voor uitval geminimaliseerd (Requirement) Digitale veiligheid door bewustwording Zorg voor regie op je sourcing strategie zodat je regie op gegevens en functionaliteit behouden blijft. Kies hierbij voor cloud native oplossingen. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas. (Requirement) Kies voor cloud native oplossingen Besteed speciale aandacht aan de risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het risico. De verantwoordelijke voor het bedrijfsmiddel moet de risico's accepteren. (Requirement) Reduceer risico's Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt. (Requirement) Segmenteer het netwerk De informatie die de overheid gebruikt en levert is -binnen afgesproken kwaliteitscriteria- in overeenstemming met de werkelijkheid. De informatie is correct, compleet en actueel. Burgers en bedrijven hebben inzage in de informatie die hen betreft, wanneer deze is gecreëerd, gelezen, gekopieerd, gewijzigd of vernietigd. Alle relevante informatie wordt verstrekt, er wordt niets verwijderd of achtergehouden. Gebruikte en verstrekte informatie is over diensten heen onderling consistent. (Goal) Integer Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO). (Requirement) Bepaal de continuïteitsei- sen Betere dienstverlening door digitalisering gaat in veel gevallen gepaard met een efficiëntere bedrijfsvoering en daarmee met lagere kosten voor overheidsorganisaties. Burgers en bedrijven verwachten een juist gebruik van middelen, dus zonder verspilling, en dat juist gebruik van middelen ook regelmatig wordt gecontroleerd. (Goal) Kostenefficient Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur. (Requirement) Versleutel gegevens in rust en transport Controleer de verwerking van gegevens: Zijn de criteria voor juistheid, en tijdigheid vastgesteld Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens) (Requirement) Controleer de verwerking van gegevens Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen. (Requirement) Evalueer de risicoanalyse bij veranderingen Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen. (Requirement) Zorg dat software up-to- date is Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis. (Requirement) Bewaak de continuïteit en stel een calamiteitenpl- an op Informatie die niet openbaar gemaakt of gedeeld mag worden, wordt vertrouwelijk behandeld. Deze vertrouwelijke informatie is afdoende afgeschermd voor onbevoegden door passende technische en organisatorische maatregelen. Bekend is wie bevoegdheden heeft om informatie te creëren, kopiëren, wijzigen en vernietigen, en wanneer deze bevoegdheden zijn gebruikt. (Goal) Vertrouwelijk Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden. (Requirement) Stel onweerlegbaa- rheid vast ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties. Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit. Scheiding tussen test- en productieomgeving (Requirement) Garandeer de beschikbaarhe- id van systemen Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds, en ander onveilig gedrag (Requirement) Maak beveiligingsm- aatregelen zo gebruiksvrien- delijk mogelijk Diensten en de hiervoor benodigde informatie, zijn op het juiste moment klaar voor gebruik. De overheidsdienstverlener zorgt voor de tijdigheid, continuïteit en robuustheid van de dienst, zodanig dat deze: # geleverd kan worden wanneer deze nodig is; # ook in de toekomst geleverd blijft worden; # bestand is tegen verstoringen en aanvallen. De overheidsdienstverlener legt daarom de vereisten over beschikbaarheid vast en evalueert deze regelmatig. De overheidsdienstverlener zorgt ervoor dat de dienst aan de verwachtingen blijft voldoen, die burgers en bedrijven redelijkerwijs mogen stellen. (Goal) Beschikbaar De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. (Requirement) Borg de vertrouwelijkh- eid van gegevens in maatregelen AssociationRelationship AssociationRelationship AssociationRelationship AssociationRelationship RealizationRelationship AssociationRelationship RealizationRelationship AssociationRelationship AssociationRelationship AssociationRelationship AssociationRelationship AssociationRelationship RealizationRelationship AssociationRelationship AssociationRelationship AssociationRelationship RealizationRelationship AssociationRelationship Deze svg is op 26-12-2024 17:54:01 CET gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 26-12-2024 17:54:01 CET
Eigenschappen
Elementtype     Principle
Label     Beheers risico's voortdurend
Definitie     Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.
Toelichting     Wanneer helder in beeld is welke gevaren en bedreigingen van toepassing zijn voor de dienst, kun je gepaste beheersmaatregelen nemen. De manieren waarop componenten kunnen falen of hoe er misbruik van kan worden gemaakt zijn onderdeel van de risicoanalyse. Telkens kan dan de afweging worden gemaakt in welke mate de kosten en inspanningen van verdere mitigatie in verhouding staan tot de gevolgen als een risico zich voordoet. De bereidheid van de overheidsdienstverlener om restrisico's te accepteren maakt onderdeel uit van de afweging. Door risico's tijdig te onderkennen zijn beheersmaatregelen effectiever en efficiënter te implementeren.
GEMMA type     Principe
Toelichting     Wanneer helder in beeld is welke gevaren en bedreigingen van toepassing zijn voor de dienst, kun je gepaste beheersmaatregelen nemen. De manieren waarop componenten kunnen falen of hoe er misbruik van kan worden gemaakt zijn onderdeel van de risicoanalyse. Telkens kan dan de afweging worden gemaakt in welke mate de kosten en inspanningen van verdere mitigatie in verhouding staan tot de gevolgen als een risico zich voordoet. De bereidheid van de overheidsdienstverlener om restrisico's te accepteren maakt onderdeel uit van de afweging. Door risico's tijdig te onderkennen zijn beheersmaatregelen effectiever en efficiënter te implementeren.
ID     GAP13
NORA principe     https://www.noraonline.nl/wiki/Beheers_risico%27s_voortdurend
Heeft bron     NORA
GEMMA type     Principe
Object ID     8b4947f8-8dc8-4498-98db-8c6be240442a
Object ID_nl     8b4947f8-8dc8-4498-98db-8c6be240442a
Original ID     id-d78c3f24-70bd-11e4-67ab-0050568a6165
Semanticsearch     beheers risico's voortdurend
Implicaties
  • Digitale veiligheid door bewustwording (Zorg als gemeente voor digitale veiligheid door bewustwording campagnes, beveiligingsmaatregelen en handhaving daarop. Door afnemers vanuit de gemeente te informeren en bewust te maken wat de risico's en impact is en hoe te handelen als er uitval is en deze campagnes ter herhalen worden de risico's voor uitval geminimaliseerd)
  • Kies voor cloud native oplossingen (Zorg voor regie op je sourcing strategie zodat je regie op gegevens en functionaliteit behouden blijft. Kies hierbij voor cloud native oplossingen. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.)
  • Reduceer risico's (Besteed speciale aandacht aan de risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het risico. De verantwoordelijke voor het bedrijfsmiddel moet de risico's accepteren.)
  • Segmenteer het netwerk (Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.)
  • Bepaal de continuïteitseisen (Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).)
  • Versleutel gegevens in rust en transport (Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.)
  • Controleer de verwerking van gegevens (Controleer de verwerking van gegevens: Zijn de criteria voor juistheid, en tijdigheid vastgesteld Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens))
  • Evalueer de risicoanalyse bij veranderingen (Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.)
  • Zorg dat software up-to-date is (Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen.)
  • Bewaak de continuïteit en stel een calamiteitenplan op (Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.)
  • Stel onweerlegbaarheid vast (Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.)
  • Garandeer de beschikbaarheid van systemen (ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties. Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit. Scheiding tussen test- en productieomgeving)
  • Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk (Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds, en ander onveilig gedrag)
  • Borg de vertrouwelijkheid van gegevens in maatregelen (De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.)
Deze pagina is voor het laatst bewerkt op 21 dec 2024 om 11:21.