Bescherming van netwerkdiensten.

De toegang tot de interne en externe netwerkdiensten dient te worden beheerst, zodat de veiligheid hiervan niet in gevaar wordt gebracht.

Gebruikers krijgen alleen toegang tot die diensten waarvoor zij zijn geautoriseerd.

• Het gebruik van netwerkdiensten is gekoppeld aan een bepaald autorisatiebeleid (zie 9.2. Management van toegangsrechten / autorisatiebeheer).

De route waarover de informatie wordt verzonden tussen het werkstation en de computerservice wordt beheerst.

• De routering gaat via vaste verbindingen, waarbij mobiele werkstations niet aansluitbaar zijn op de route;
• De routering valt onder het personele protocol geheimhouding;
• Zendpunten en ontvangstpunten bij datacommunicatie verzekeren zich elkaar van juiste identiteit en zijn niet door onbevoegden te onderscheppen (BXIV 9.4, CBP 4.8).

Autorisatie van gebruikers die van een externe locatie toegang proberen te krijgen tot het netwerk.

De autorisatie van verbindingen met computers op afstand moet worden geverifieerd.

De toegang tot het netwerk via een diagnosepoort is beveiligd.

• Het op afstand diagnosticeren, c.q. repareren van problematiek op het netwerk, blijft beperkt tot een kleine groep gemachtigden;
• Het diagnosticeren op afstand gebeurt via het netwerk en niet middels een telefoonverbinding;
• Alvorens een dergelijke sessie te starten, moet toestemming worden verkregen voor de inbreuk;
• Wanneer de diagnose gebeurt, blijft de betrokken persoon voortdurend op de hoogte van wat er wordt uitgevoerd;
• De aangewezen functionarissen voor het uitvoeren van deze diagnosevorm, hebben een verklaring ondertekend, waarmee ze aangeven de gegevens waarvan zij op deze manier kennis krijgen, geheim te zullen houden.

Het aanbrengen van scheidingen op het netwerk teneinde ongeautoriseerde toegang tot data te bemoeilijken / verhinderen.

• Het GSD- en Suwi-netwerk blijven virtueel strikt gescheiden van andere netwerken, tenzij de bedrijfsprocessen een koppeling noodzakelijk maken;
• Daar waar een koppeling noodzakelijk is of wordt, worden alle noodzakelijke beveiligingsmaatregelen genomen om onbevoegde toegang tot het GSD-netwerk te verhinderen. Twee belangrijke maatregelen zijn:
  • Al het netwerkverkeer van het eigen netwerk met andere netwerken, waaronder Internet, dient te verlopen via één logische netwerkingang, de filterende netwerkkoppeling, waarbij als uitgangspunt geldt dat “alles wat niet expliciet is toegestaan is verboden”;
  • Voor de Internetkoppeling wordt tevens een actieve bewaking ingericht voor het detecteren van mogelijke inbraken;
• Mochten componenten of delen van het netwerk fysiek gedeeld worden met andere partijen, dan dient een strikte logische scheiding ingericht te worden, die aantoonbaar en controleerbaar is; ook hier is van toepassing “alles wat niet expliciet is toegestaan is verboden”;
• Data en spraakverkeer dient logisch gescheiden te zijn.

Door instelling van juiste toegangsbeveiliging verhinderen dat gebruikers van het netwerk ongewenste verbindingen kunnen maken.

• Zonder de juiste autorisatie moet het gebruikers onmogelijk zijn om ongewenste verbindingen te leggen op gezamenlijke netwerken; m.a.w. verbindingen niet zijn toegestaan, tenzij daar een specifieke machtiging voor is afgegeven.

 

De routering van informatie die persoonsgegevens bevat wordt beheerst.

• De routering van deze informatie is vastgelegd en wordt gevolgd;
• De routering van deze informatie is deels onderhevig aan toegangsmachtigingen en scheidingen tussen profielen, applicaties, etc.

 

De door de GSD gebruikte netwerkdiensten voldoen aan de daarvoor vastgelegde beveiligingseisen.

• De netwerkdiensten waarvan gebruik wordt gemaakt door de GSD vormen geen afbreukrisico voor de beveiliging van persoonsgegevens;
• De netwerkdiensten waarvan gebruik wordt gemaakt door de GSD blijven beperkt tot de netwerkdiensten die voor de bedrijfsprocessen van de GSD noodzakelijk zijn;
• Het netwerk voor de GSD met bijbehorende routering wordt exclusief ter beschikking gesteld aan de GSD c.q. gemeente, waarbij geen directe toegang mogelijk is vanuit publiek toegankelijke netwerken of via inbelvoorzieningen (BXIV 9.4, CPB 4.8).